Qual o prazo legal para notificar o Banco Central sobre uma indisponibilidade no Pix?

De acordo com os manuais do Pix e resoluções vigentes do BCB, incidentes que afetem a disponibilidade do serviço devem ser comúnicados de forma imediata através do catálogo de serviços do Bacen, assim que a instabilidade sistêmica for confirmada pela instituição.

Quem deve compor a 'War Room' de uma fintech durante um incidente?

A sala de guerra deve conter um Incident Commander (CTO ou VP que lidera a crise), Tech Leads (que executam as correções), Head de Comúnicação/PR, representante de Legal/Compliance e o Head de Atendimento ao Cliente. O CEO deve ser mantido informado, mas só intervém diretamente em crises prolongadas.

O que comúnicar aos clientes se a causa raiz ainda é desconhecida?

Use um 'Holding Statement'. Reconheça públicamente a instabilidade, garanta que os recursos financeiros dos clientes estão seguros, informe que a equipe técnica está investigando e defina um prazo claro (ex: 30 minutos) para a próxima atualização de status. Silêncio e jargões técnicos devem ser evitados.

Qual a diferença entre tratar um vazamento de dados (LGPD) e uma queda de sistema?

Uma queda de sistema (outage) foca em reestabelecer a disponibilidade e comúnicar o Banco Central sobre a falha operacional. Um vazamento de dados exige notificação compulsória à ANPD (Autoridade Nacional de Proteção de Dados) e aos titulares dos dados afetados, além de focar primariamente na contenção do acesso indevido antes mesmo de restaurar a disponibilidade.

Incident response para fintechs: o plano de 60 minutos que salva reputações

16h32 de uma sexta-feira de pagamento. O alerta do Datadog dispara no canal do Slack da engenharia. A taxa de aprovação de transações via Pix na sua fintech acabou de cair de 99,8% para 12%. Dois minutos depois, o primeiro usuário reclama no X (antigo Twitter). Dez minutos depois, já são 500 menções. O Reclame Aqui começa a apitar de forma ensurdecedora.

Você tem exatamente 60 minutos para agir antes que o Banco Central acione os canais oficiais pedindo explicações e a imprensa financeira publique uma nota sobre a sua instabilidade. Se você opera uma instituição de pagamento, preste atenção aqui: a forma como sua equipe reage nesta primeira hora separa as empresas maduras das aventuras de garagem.

Na Ouro Capital, acompanhamos os bastidores de dezenas de crises operacionais e cibernéticas no mercado financeiro. Observamos que o problema nunca é a falha técnica em si. A AWS cai. Deploys malfeitos passam pelos testes automatizados. Bancos de dados corrompem. A verdadeira catástrofe ocorre quando o plano de resposta a incidentes (Incident Response - IR) existe apenas num PDF esquecido no Google Drive do CISO.

Construímos este playbook detalhado, minuto a minuto, focado na realidade regulatória e de mercado das fintechs brasileiras em 2026. Esqueça teorias genéricas. Vamos ao que funciona na trincheira.

O custo real de um apagão no Brasil

Antes de cronometrar os 60 minutos, precisamos alinhar o tamanho do problema. Hoje, o ecossistema brasileiro processa mais de 300 milhões de transações Pix diariamente. Uma fintech com apenas 1% de market share lida com 3 milhões de operações a cada 24 horas. Isso dá mais de 2.000 transações por minuto.

Uma hora de indisponibilidade significa 120.000 clientes com o dinheiro travado na boca do caixa do supermercado, na catraca do metrô ou no balcão da farmácia. A dor é imediata, física e altamente emocional.

Do lado regulatório, a Resolução BCB nº 85/2021 (e suas atualizações recentes) estabelece punições severas para indisponibilidade no ecossistema Pix. O Banco Central não tolera falhas sistêmicas não comúnicadas. Uma queda prolongada sem os devidos ritos de notificação resulta em multas que fácilmente ultrapassam a casa do milhão de reais, além da suspensão cautelar de novos cadastros de chaves.

Além disso, a Resolução CMN 4.893 obriga as instituições a manterem políticas rígidas de segurança cibernética e planos de resposta a incidentes testados e aprovados pela diretoria. Quando a crise estoura, o regulador vai cobrar a execução exata do que você prometeu no papel.

Minuto 0 a 15: Detecção, Triagem e Declaração de Crise

O relógio começou a correr. Os primeiros 15 minutos são caóticos e definem o ritmo do resto da operação.

Alinhamento de sinais

Um incidente começa de duas formas: ou os seus monitores internos (APMs, logs de erro, latência de rede) gritam, ou o cliente avisa primeiro. Se o cliente avisou primeiro no Twitter antes do seu NOC (Network Operations Center) perceber, seu monitoramento falhou. Assuma a derrota e siga em frente.

Nesta fase, o Tech Lead ou o Engenheiro de Plantão (On-Call) precisa fazer três perguntas cruciais em menos de cinco minutos:

O impacto é sistêmico ou isolado (ex: apenas um parceiro de cash-in caiu)?
Existe indício de vazamento de dados ou ataque malicioso (ransomware/DDoS)?
Qual a volumetria financeira afetada?

Puxando o cordão de segurança

Confirmada a gravidade, o Engenheiro On-Call declara formalmente o incidente grau 1. Ele aciona o pager da diretoria. Não há espaço para heroísmo solitário na engenharia. Tentar consertar o banco de dados em silêncio para evitar bronca do CEO é o caminho mais rápido para a demissão.

O alerta vai para um canal específico no Slack ou Teams (ex: #incidente-crítico-ativo). Todos os executivos-chave entram na chamada de voz imediatamente.

Minuto 16 a 30: A War Room e o Isolamento

A partir do 16º minuto, a gestão da crise sai da mão exclusiva da engenharia e vira um problema corporativo. A War Room (Sala de Guerra) é instaurada.

Quem senta à mesa

Uma War Room eficiente tem papéis definidos, não crachás. Você precisa de:

Incident Commander: O maestro. Geralmente o CTO, CISO ou um VP de Engenharia. Ele não toca no código. Ele toma decisões.
Tech Leads: Os cirurgiões. Estão olhando os logs, revertendo deploys ou isolando servidores.
Head de Comúnicação/PR: Traduz o caos técnico para o mundo externo.
Legal/Compliance: Avalia os riscos regulatórios em tempo real.
Atendimento (CX): Prepara a linha de frente para o tsunami de chamados.

Contenção antes da correção

Se o incidente for um ataque cibernético (alguém invadiu o ambiente AWS), a regra de ouro é: contenção imediata. Corte os acessos. Isole a VPC. É preferível derrubar o aplicativo inteiro e deixar os clientes sem acesso do que permitir que um ator malicioso continue exfiltrando dados de cartões de crédito.

Se for uma falha operacional (um updaté no app quebrou o login), a decisão é reverter o deploy (rollback) imediatamente. Não perca 40 minutos tentando debugar o erro em produção. Volte para a versão anterior. Estanque o sangramento.

Minuto 31 a 45: A Primeira Comúnicação Externa

Chegamos na metade da nossa hora dourada. A imprensa já notou. O Downdetector mostra um pico vermelho gigante sob a sua marca. O silêncio da sua empresa está criando um vácuo de informação — e na internet, o vácuo sempre é preenchido por pânico e fake news.

O Holding Statement

Você precisa públicar um 'Holding Statement' (Declaração de Espera). O PR e o Jurídico já devem ter modelos pré-aprovados para isso.

A mensagem nas redes sociais e no push do app deve ser simples, honesta e sem jargões técnicos.

O que NÃO dizer: "Nossos servidores AWS em us-east-1 sofreram um timeout no cluster Kubernetes, estamos investigando os pods." O que dizer: "Identificamos uma oscilação no nosso sistema que está afetando transferências via Pix e login no app. Nossa equipe já está atuando na correção. Seu dinheiro está seguro. Voltamos com atualizações em 30 minutos."

Perceba a estrutura: reconhece o problema, diz que está trabalhando, tranquiliza sobre o dinheiro (a maior dor do cliente) e dá um prazo para a próxima atualização. Nubank e Mercado Pago são mestrês nessa comúnicação rápida e empática. O cliente perdoa a falha técnica, mas não perdoa a sensação de abandono.

O canal com o regulador

Simultaneamente, o time de Compliance avalia os gatilhos regulatórios. A falha afeta o Sistema de Pagamentos Instantâneos (SPI)? O Banco Central exige comúnicação imediata através dos canais do catálogo de serviços do Pix. Esconder do BCB a severidade do incidente é assinar um cheque em branco para multas punitivas.

Se há suspeita de vazamento de dados pessoais, o relógio da LGPD também começa a bater. A ANPD (Autoridade Nacional de Proteção de Dados) exigirá um relato detalhado. O Jurídico começa a rascunhar os relatórios preliminares agora, não amanhã.

Minuto 46 a 60: Plano de Ação e Alinhamento de Suporte

Entramos no último quarto da hora. A engenharia deve ter, neste momento, um diagnóstico razoável da causa raiz ou, pelo menos, um caminho claro para mitigação.

Municiando o Atendimento ao Cliente

O seu time de Customer Experience (CX) está tomando pancada. Os telefones não param. O chat está com fila de espera de 2.000 pessoas.

O Head de CX precisa receber da War Room um script claro de resposta. Os atendentes não podem adivinhar o que está acontecendo. Eles precisam dizer com firmeza: "Tivemos uma instabilidade confirmada no gateway de pagamentos. Nenhuma transação será duplicada. O prazo de normalização estimado é de X horas."

Se você opera um e-commerce ou adquirente (como Stone ou PagSeguro), seus clientes são lojistas perdendo vendas. A abordagem de suporte aqui muda. É preciso orientar o lojista sobre métodos de contingência (passar transações offline, usar maquininha reserva) e garantir que o chargeback ou falhas de liquidação não vão quebrar o fluxo de caixa dele na segunda-feira.

A decisão executiva de longo prazo

Se aos 60 minutos o problema não estiver resolvido e a previsão for de horas de indisponibilidade (um banco de dados corrompido que precisa de restore de backup lento, por exemplo), o CEO entra em cena.

A postura muda de 'instabilidade temporária' para 'crise operacional'. Os comúnicados passam a ser assinados por executivos para demonstrar responsabilidade. Campanhas de marketing em andamento devem ser pausadas imediatamente — nada irrita mais um usuário sem acesso ao próprio dinheiro do que receber um e-mail marketing oferecendo empréstimo com taxa promocional.

Pós-60 Minutos: Resolução e Retrospectiva (Post-Mortem)

O sistema voltou. Os gráficos normalizaram. O Twitter acalmou. A crise acabou?

Absolutamente não. A fase de recuperação e análise pós-incidente é onde as fintechs blindam sua operação para o futuro.

Root Cause Analysis (RCA)

Nos dias seguintes, a engenharia deve produzir um documento de RCA (Análise de Causa Raiz). Não aceitamos a desculpa de "o servidor travou". Por que travou? Faltou memória? Por que o alerta de memória não disparou antes de travar? Por que o load balancer não jogou o tráfego para outra zona de disponibilidade?

O framework dos '5 Porquês' (5 Whys) é obrigatório aqui. O objetivo do RCA não é achar um culpado para demitir, mas achar o buraco no processo para consertar.

Prestação de contas regulatória e pública

O Banco Central vai exigir o relatório detalhado do incidente sistêmico, incluindo as medidas de mitigação tomadas para que o evento não se repita.

Para o mercado e para os clientes, a transparência radical vence. Escrever um blog post técnico detalhando o que aconteceu, como a equipe lidou e o que foi aprendido gera confiança. Desenvolvedores adoram ler post-mortems técnicos (a Cloudflare é famosa por isso). Investidores respeitam empresas que assumem seus erros com maturidade. Clientes sentem que estão lidando com adultos.

O que isso significa para o C-Level

Se você é fundador, CEO ou CTO de uma operação financeira no Brasil, o recado é direto: terceirizar a resposta a incidentes apenas para a área técnica é negligência.

O playbook de 60 minutos exige orçamento, treinamento e simulados. Uma vez por semestre, sua empresa deve simular um ataque de ransomware ou uma queda no Pix num sábado de madrugada. Teste os telefones. Teste os acessos VPN. Teste quem atende e quem dorme.

Incidentes operacionais são inevitáveis no mercado de tecnologia financeira. A falha técnica é perdoável. A falha de comúnicação, a mentira e a desorganização durante a crise, não. Quando o cronômetro começa a rodar, sua reputação e sua licença de operação estão na mesa. O plano de 60 minutos garante que você levante da mesa ainda no jogo.