A Resiliência Operacional em Fintechs: O Fim do DR Tradicional e a Nova Exigência do Banco Central

Imagine uma terça-feira comum, agora em abril de 2026. O ecossistema do PIX processa rotineiramente mais de 230 milhões de transações diárias. De repente, uma pequena falha de roteamento em um provedor de nuvem de grande escala causa um efeito dominó. Uma das maiores instituições de pagamento do país sai do ar. O aplicativo não abre, o saldo some, as transferências falham na boca do caixa da padaria.

Dez minutos depois, o telefone do CEO toca. É o Banco Central (BACEN). O regulador não quer saber qual servidor caiu, qual foi o erro de código ou se o time de TI já acionou o backup. A pergunta do regulador é direta: 'Qual é o impacto sistêmico dessa parada e em quantos minutos o serviço crítico será restabelecido para a população?'

Essa mudança de narrativa define o mercado financeiro hoje. Nós da Ouro Capital conversamos frequentemente com diretores de risco, CTOs e fontes ligadas aos órgãos reguladores. Observamos uma ruptura clara: o velho Plano de Continuidade de Negócios (PCN) e o tradicional Disaster Recovery (DR) focados apenas em infraestrutura de TI não servem mais. A régua subiu. A exigência agora atende pelo nome de Resiliência Operacional — um conceito muito mais profundo, focado no negócio, na tolerância a falhas e na interconexão do sistema financeiro nacional.

O Fim da Era do 'Plano de Recuperação de Desastrês'

Durante anos, as instituições financeiras trataram a continuidade como um problema exclusivo da área de tecnologia. O modelo clássico de Disaster Recovery era baseado em métricas de TI: RTO (Recovery Time Objective, ou o tempo para voltar ao ar) e RPO (Recovery Point Objective, ou o máximo de dados que você aceita perder). Você tinha um data center principal e um secundário. Se o primeiro pegasse fogo, você virava a chave para o segundo.

Isso acabou. A arquitetura moderna das fintechs brasileiras — baseada em microsserviços, APIs conectadas ao Open Finance, múltiplas nuvens e dezenas de fornecedores SaaS — tornou o DR tradicional obsoleto. Quando Nubank, Mercado Pago, Stone ou PagSeguro operam, eles não dependem de um único mainframe isolado. Eles dependem de uma teia invisível de centenas de parceiros tecnológicos.

O que acontece se a sua infraestrutura está 100% no ar, mas o seu parceiro de biometria facial para onboarding sai do ar por 12 horas? A sua TI está verde no dashboard, mas o seu negócio está paralisado. Nenhum cliente novo entra.

A Resiliência Operacional pressupõe que as falhas vão acontecer. A infraestrutura vai falhar. O fornecedor vai ser hackeado. Um bug vai passar no pipeline de deploy. A pergunta que o BACEN faz não é mais 'Como você evita falhas?', mas sim 'Como o seu serviço crítico continua funcionando, mesmo de forma degradada, enquanto tudo ao redor está desmoronando?'.

O Que o Banco Central Realmente Quer Agora

A base regulatória atual começou a ganhar corpo estrutural com a Resolução CMN 4.893 e a Resolução BCB 85, que estabeleceram requisitos rigorosos para política de segurança cibernética e contratação de serviços em nuvem. Contudo, a supervisão do BACEN evoluiu rápidamente nos últimos dois anos.

Hoje, o regulador avalia a maturidade das instituições através de uma lente de serviços de negócios críticos. O BACEN quer que cada fintech e banco mapeie exatamente quais serviços, se interrompidos, causam danos aos clientes ou risco sistêmico ao Sistema Financeiro Nacional (SFN).

O conceito-chave aqui é a Tolerância a Impacto.

Em vez de prometer utópicos '99,999% de disponibilidade' em um contrato de SLA, a instituição deve definir o tempo máximo tolerável de interrupção de um serviço antes que os danos se tornem inaceitáveis. Por exemplo: o serviço de visualização de fatura do cartão de crédito pode ter uma tolerância a impacto de 4 horas. Já o processamento de transações do PIX tem uma tolerância a impacto medida em segundos ou poucos minutos.

Ao focar no serviço, o regulador exige que a instituição olhe de ponta a ponta. Não basta espelhar o banco de dados. É preciso garantir que as pessoas certas, os processos corretos, os fornecedores terceirizados e as instalações físicas consigam suportar a entrega daquele serviço específico sob estrêsse extremo.

O Preço da Falha: Casos Reais e Risco Sistêmico

Nos últimos cinco anos, acompanhamos episódios marcantes no Brasil. Vimos grandes bancos de varejo deixarem milhões de clientes sem acesso ao PIX no quinto dia útil do mês. Vimos fintechs listadas em bolsa enfrentarem horas de indisponibilidade no home broker em dias de altíssima volátilidade na B3. Vimos adquirentes sofrerem apagões em terminais de POS no varejo físico, travando vendas no país inteiro.

Cada um desses eventos não resultou apenas em memes nas redes sociais ou danos à reputação. Eles geraram multas pesadas, aumento do escrutínio regulatório e, em alguns casos, limites impostos ao crescimento das carteiras de clientes até que a infraestrutura fosse comprovadamente reforçada.

O grande pesadelo do BACEN é o risco de concentração. O mercado brasileiro roda quase inteiramente em cima de três gigantes americanos de nuvem: AWS, Microsoft Azure e Google Cloud (GCP). O regulador sabe que uma falha na zona 'us-east-1' da AWS, por exemplo, pode derrubar dezenas de fintechs simultaneamente.

Se você opera uma Instituição de Pagamento (IP) ou uma Sociedade de Crédito Direto (SCD), o risco do seu provedor de nuvem é o seu risco. A responsabilidade não pode ser terceirizada. Se o serviço parar, o BACEN vai cobrar o seu Conselho de Administração, não o CEO da Amazon ou do Google.

Como Construir Maturidade em Resiliência Operacional

Construir resiliência verdadeira custa dinheiro, consome tempo de engenharia e exige mudança cultural. Não é um projeto com data de término; é uma disciplina contínua. Na nossa análise do mercado, as fintechs brasileiras mais maduras estão implementando estratégias em três frentes principais.

1. Mapeamento de Dependências de Ponta a Ponta

O primeiro passo é abandonar os silos. O serviço 'Realizar Pagamento com PIX' precisa ser dissecado. Quais aplicações suportam isso? Quais bancos de dados? Quem são os fornecedores de mensageria? Quais equipes internas operam esse fluxo? E se o parceiro de prevenção à fraude via API travar, o PIX para ou o sistema adota um comportamento de aprovação baseada em regras locais (degradação graciosa)?

Mapear isso significa criar um gráfico de dependências vivo. Se um elemento falhar, o sistema deve automaticamente isolar a falha (circuit breaker) para impedir que o erro em cascata derrube toda a plataforma.

2. Testes de Estrêsse Severos e Engenharia de Caos

Ter um plano no papel não serve para nada. As fintechs de elite estão adotando a Engenharia de Caos (Chaos Engineering) — uma prática popularizada pela Netflix e agora mandatória no setor financeiro pesado.

Na prática: as equipes de engenharia simulam desastrês no ambiente de produção durante o horário comercial. Eles desligam servidores deliberadamente. Bloqueiam portas de rede. Injetam latência nas respostas do banco de dados. O objetivo é provar, de forma empírica, que a arquitetura do sistema consegue sobreviver e se recuperar sem intervenção humana.

O BACEN tem exigido testes baseados em cenários severos, mas plausíveis. Um ataque de ransomware que criptografa os backups principais. A falha completa de uma zona de disponibilidade na nuvem. O sequestro de credenciais de um administrador do sistema. A fintech precisa provar que consegue se reerguer dentro da margem de tolerância a impacto definida.

3. Governança de Terceiros e Quarteirizados

Este é o calcanhar de Aquiles do mercado brasileiro. Você contratou uma plataforma SaaS de CRM excelente. Esse CRM, por sua vez, usa uma ferramenta obscura de envio de SMS. A ferramenta de SMS usa um banco de dados hospedado em um provedor inseguro. Quando esse provedor sofre um vazamento de dados, os CPFs dos seus clientes acabam na deep web.

O risco de terceiros (e quarteirizados) é a maior vulnerabilidade atual. As regulações exigem auditorias profundas na cadeia de suprimentos de software. Contratos precisam incluir cláusulas rigorosas de direito de auditoria, exigência de certificações (ISO 27001, SOC 2) e planos de saída (exit strategy). Se o seu principal fornecedor de processamento de cartões falir amanhã, você consegue migrar para um concorrente em quanto tempo?

Implicações Práticas: O Que Muda Para a Sua Fintech

Se você está na cadeira de liderança — seja como CEO, CTO ou CRO —, a abordagem sobre resiliência operacional precisa mudar hoje. A responsabilidade subiu para a diretoria executiva e para o Conselho de Administração.

Primeiro, o orçamento de tecnologia precisa ser rebalanceado. Historicamente, investia-se 90% do budget de segurança em prevenção (firewalls, antivírus, controle de acesso) e apenas 10% em recuperação e resiliência. Essa conta não fecha mais. O ataque bem-sucedido ou a falha catastrófica vai ocorrer. Investir em arquiteturas multi-região ativas (active-active), replicação de dados assíncrona blindada contra ransomware e redundância de links de telecom é sobrevivência.

Segundo, o design dos produtos muda. Os desenvolvedores precisam construir aplicações pensando na degradação graciosa (graceful degradation). Se o motor de recomendação de crédito falha, o app não deve exibir uma tela branca de erro fatal; ele deve exibir o saldo e permitir funções básicas, ocultando temporariamente a aba de empréstimos.

Terceiro, a comúnicação de crise ganha peso regulatório. A capacidade de informar o BACEN tempestivamente (dentro das janelas restritas definidas pelas normativas) e de comúnicar os clientes de forma transparente durante um incidente grave é um pilar da resiliência. Esconder a falha ou usar a desculpa de 'instabilidade sistêmica momentânea' gera multas punitivas severas.

O Futuro da Resiliência: A Influência do DORA

Para entendermos o que o Banco Central do Brasil fará nos próximos dois a três anos, basta olharmos para a Europa. A União Europeia implementou o DORA (Digital Operational Resilience Act), o marco regulatório mais agressivo do mundo sobre o tema.

O DORA afeta diretamente bancos, corretoras de criptoativos e terceiros críticos (como provedores de nuvem). Ele exige testes de penetração avançados conduzidos por ameaças (TLPT) e impõe multas diárias massivas por descumprimento. Como grandes bancos e fintechs brasileiras possuem operações, subsidiárias ou captação de recursos na Europa, o DORA já está forçando o mercado nacional a se adaptar.

O BACEN acompanha o DORA de perto. A expectativa clara do mercado é que resoluções futuras do BC incorporém exigências europeias adaptadas à realidade do Open Finance brasileiro.

A resiliência operacional não é mais um manual empoeirado na gaveta da TI. É o alicerce que garante que a economia brasileira continue girando, mesmo quando os piores cenários se materializam. Quem não entender isso rápido, vai ficar fora do jogo — seja por falha técnica ou por canetada regulatória.