A transformação digital no setor bancário, impulsionada pelo avanço da tecnologia, pela expansão do open finance e pelo crescimento das fintechs, aumentou exponencialmente a exposição dos dados pessoais e sensíveis dos clientes.

Ao mesmo tempo, as ameaças cibernéticas se tornaram mais sofisticadas, exigindo uma resposta jurídica, regulatória e tecnológica igualmente complexa.

Neste contexto, a proteção de dados e a prevenção de fraudes não são apenas obrigações legais, mas componentes essenciais da governança corporativa e da sustentabilidade das instituições financeiras.

Este artigo oferece uma análise orientada especialmente para gestores, departamentos jurídicos, compliance officers e equipes de segurança da informação de bancos, cooperativas, fintechs e demais instituições financeiras.

1. Fundamentação legal: quais leis regem a proteção de dados e a prevenção de fraudes?

As instituições financeiras no Brasil devem observar um arcabouço normativo robusto, composto por normas específicas e gerais. A seguir, destacam-se as principais:

13. a) LGPD – Lei Geral de Proteção de Dados (Lei nº 13.709/2018)

A LGPD estabelece os princípios, deveres e sanções relacionadas ao tratamento de dados pessoais. Aplica-se a qualquer instituição que colete, armazene, utilize ou compartilhe dados de pessoas físicas. As instituições financeiras lidam diariamente com dados pessoais sensíveis, o que aumenta o nível de responsabilidade exigido.

1. b) Resoluções do Banco Central do Brasil (Bacen)

Diversas normas do Bacen disciplinam a segurança cibernética, a prevenção de fraudes e a governança de dados, tais como:

• Resolução nº 4.893/2021: trata da política de segurança cibernética e requisitos de contratação de serviços de processamento e armazenamento de dados.
• Resolução Conjunta CMN/Bacen/CVM/Susep/Previc nº 1/2020: impõe obrigações sobre a política de segurança da informação e incidentes cibernéticos.

1. c) Código de Defesa do Consumidor e o Marco Civil da Internet

Ambos impõem o dever de transparência e segurança às instituições que tratam dados dos consumidores. Em caso de falhas, cabe responsabilidade objetiva.

1. d) Normas da ANPD (Autoridade Nacional de Proteção de Dados)

A ANPD é a responsável por fiscalizar e regulamentar a aplicação da LGPD. Em 2024 e 2025, diversas diretrizes técnicas foram publicadas, especialmente no que se refere ao Programa de Governança em Privacidade e ao Tratamento de Dados Pessoais Sensíveis.

2. Adoção de programas internos de governança em privacidade

As instituições financeiras devem estruturar um Programa de Governança em Privacidade e Proteção de Dados, com diretrizes alinhadas à LGPD, aos princípios de accountability e aos requisitos de compliance. Esse programa deve conter:

• Nomeação de um DPO (Data Protection Officer);
• Implantação de políticas internas de privacidade e segurança;
• Capacitação contínua dos colaboradores;
• Avaliações periódicas de riscos (auditorias internas e externas);
• Criação de canais de comunicação com titulares e com a ANPD.

Esse programa deve ser documentado e revisado de forma contínua, com relatórios de impacto (RIPDs), gestão de consentimento e planos de resposta a incidentes bem definidos.

3. Medidas operacionais obrigatórias para proteção de dados

Além das diretrizes jurídicas, a prática operacional exige medidas técnicas concretas para mitigar riscos. As principais são:

1. a) Criptografia e anonimização

Todos os dados sensíveis devem ser armazenados de forma criptografada, e o uso de anonimização e pseudonimização deve ser adotado sempre que possível, sobretudo nos ambientes de teste e desenvolvimento.

1. b) Adoção do princípio do acesso mínimo

A política de governança deve prever que somente pessoas autorizadas tenham acesso aos dados, conforme o princípio do “need to know”. Isso reduz drasticamente o risco de vazamentos internos.

1. c) Monitoramento e logging

Todas as ações realizadas nos sistemas devem ser logadas e auditáveis. Isso possibilita rastrear incidentes e fortalecer a responsabilização em caso de falhas.

1. d) Conformidade no ciclo de vida dos dados

Desde a coleta até o descarte, os dados devem ser tratados com segurança. Isso inclui o encerramento seguro de contratos e a eliminação adequada de dados inativos ou obsoletos.

4. Prevenção de fraudes: práticas jurídicas e técnicas integradas

A prevenção de fraudes exige uma abordagem multifatorial, baseada em prevenção, detecção, resposta e recuperação. Para isso, é recomendável implementar:

1. a) Autenticação robusta e biometria

Mecanismos como autenticação multifator (MFA), biometria facial e digital, e tokens de segurança devem ser padrão nas interações sensíveis, especialmente em apps de mobile banking.

1. b) Inteligência artificial para monitoramento de transações

Sistemas baseados em machine learning permitem identificar comportamentos atípicos e padrões de fraude, disparando alertas em tempo real.

1. c) Criação de Centros de Resposta a Incidentes (CSIRTs)

As instituições devem manter equipes internas ou terceirizadas para respostas rápidas a incidentes. Esses centros são responsáveis por:

• Detectar e conter ataques cibernéticos;
• Notificar órgãos reguladores (ANPD, Bacen);
• Comunicar o titular afetado;
• Preservar as evidências para eventual litígio ou investigação criminal.

1. d) Política de relacionamento com terceiros e fornecedores

Fornecedores que processam dados em nome das instituições financeiras também devem seguir as mesmas exigências da LGPD. Por isso, é indispensável formalizar cláusulas contratuais com requisitos mínimos de segurança da informação e compliance.

5. Sanções e riscos jurídicos: o custo da inércia

As instituições que não adotarem as medidas de segurança exigidas podem sofrer:

• Multas da ANPD: até R$ 50 milhões por infração;
• Processos por danos morais e materiais: movidos por titulares ou pelo Ministério Público;
• Ações coletivas: lideradas por associações de defesa do consumidor;
• Bloqueio da base de dados: o que pode inviabilizar a operação bancária.

Além disso, falhas em fraudes que envolvam desvios de valores via Pix, phishing ou roubo de identidade podem gerar responsabilidade civil solidária, nos termos do CDC, mesmo quando praticadas por terceiros.

6. A proteção de dados como parte da agenda ESG e da reputação institucional

Em 2025, a proteção de dados está diretamente associada ao pilar de Governança (G) da agenda ESG. Investidores institucionais, inclusive internacionais, já avaliam o nível de conformidade com a LGPD como critério para investimentos e parcerias.

Ademais, a reputação das instituições financeiras está cada vez mais ligada à sua capacidade de proteger dados sensíveis, prevenir fraudes e responder adequadamente a incidentes. A confiança do consumidor digital passa pela percepção de segurança e ética no uso de seus dados.

Conclusão

A proteção de dados e a prevenção de fraudes não devem ser encaradas como um custo ou um problema jurídico, mas como um fator de competitividade, eficiência operacional e confiança institucional. A conformidade legal precisa estar acompanhada de cultura organizacional, investimento em tecnologia e decisões estratégicas de longo prazo.

Portanto, as instituições financeiras que pretendem manter sua relevância no mercado devem agir proativamente, com governança sólida, transparência nas práticas digitais e comprometimento com a proteção dos direitos dos titulares de dados.

O propósito deste artigo é puramente informativo. Estamos à disposição para orientá-lo.

Compartilhe [addthis tool="addthis_inline_share_toolbox_er3v"]