A inteligência artificial tem ampliado a escala, a velocidade e a sofisticação dos ataques cibernéticos no setor de pagamentos, criando um cenário de disputa entre “IA de ataque” e “IA de defesa”. A avaliação é de Guilherme Scheibe, diretor regional do PCI Security Standards Council (PCI SSC) para o Brasil, América Latina e Caribe. Em entrevista ao IA Brasil Notícias, ele afirma que o avanço da tecnologia obrigou o mercado a revisar práticas de proteção de dados e destaca que o Conselho tem priorizado a criação de diretrizes práticas e ciclos contínuos de atualização para acompanhar as mudanças no ambiente digital.
Para começar, poderia explicar brevemente como é a atuação do conselho?
O PCI Security Standards Council foi fundado em 2006, em uma época em que vivíamos a transformação dos meios de pagamento. Estávamos mudando dos cartões de pagamento físicos, com cópias em papel-carbono, para um modelo totalmente digital. O Conselho é formado pelas bandeiras de pagamento e acho importante citá-las. Os membros fundadores (founding members) são a American Express, a Discover, a JCB, a MasterCard e a Visa. Embora sejam concorrentes, existe uma definição consolidada no mercado de que não há concorrência quando o assunto é fraude ou segurança, pois esse é um problema que afeta todo o ecossistema. Portanto, a fundação do Conselho foi realizada por essas empresas justamente para estabelecer padrões de segurança que fossem únicos ou aceitos pelas diferentes bandeiras atuantes. Hoje em dia, outras organizações já fazem parte do Conselho, como a UnionPay da China, que ingressou não como membro fundador, mas como um dos membros principais e integra o comitê executivo. Em diferentes países, temos também algumas bandeiras que participam como membros afiliados (affiliate members), que é o caso da Elo no Brasil.
Compreendido o motivo de nossa existência e a nossa origem, do ponto de vista institucional, o PCI Council atua como um fórum global para o desenvolvimento, aprimoramento, armazenamento e disseminação de padrões de segurança voltados à proteção de dados de conta — e quando mencionamos dados de conta, referimo-nos aos dados de pagamento de forma geral. Nosso papel é desenvolver esses padrões que reforçam a segurança em todo o ecossistema de pagamento. O nosso grande desafio é nos mantermos à frente das ameaças e considerar as tecnologias emergentes, inclusive a inteligência artificial. Esse tem sido um tema recorrente nos últimos três anos, impulsionado pelo boom da IA.
Diante do avanço da inteligência artificial, seria possível compartilhar com os nossos leitores como o Conselho tem enxergado as principais vulnerabilidades de segurança?
O principal impacto da inteligência artificial na segurança cibernética é a industrialização e automação dos ataques. A tecnologia reduziu drasticamente os custos operacionais dos criminosos, aumentando a velocidade, a personalização e a eficiência das ofensivas. Processos que antes exigiam alta capacidade técnica e tempo — como o mapeamento de superfícies digitais (reconhecimento), a criação de códigos maliciosos (malwares e scripts) e golpes de engenharia social altamente direcionados — hoje são feitos de forma automatizada e inteligente pela IA. Esse cenário, inclusive, forçou uma atualização recente no padrão global PCI DSS em relação à engenharia social para responder ao aprimoramento dessas fraudes.
Essa evolução cria uma assimetria perigosa entre ataque e defesa. Enquanto os cibercriminosos implementam a IA de forma ágil e conseguem explorar novas brechas no dia seguinte à sua descoberta, as empresas enfrentam uma lentidão operacional crônica. O processo de defesa corporativa exige a busca por fornecedores, a realização de Provas de Conceito (PoCs) e testes rigorosos para garantir que o negócio ou o ambiente de produção não sejam afetados antes de implementar uma IA de proteção. Diante disso, o mercado migra para um cenário de “IA de ataque contra IA de defesa”, onde o sucesso dependerá da capacidade técnica de quem ataca e quem defende.
Diante desse cenário desafiador, gostaria de entender o papel do Conselho na definição de padrões globais de proteção de dados nesta era da inteligência artificial.
No momento atual, o foco do Conselho tem sido o desenvolvimento de guias e documentos de orientação (guidances), além de canais de comunicação que trazem a visão global dos nossos stakeholders. Hoje nós não temos como prioridade modificar os nossos padrões técnicos ou criar uma norma específica para a inteligência artificial, principalmente pela velocidade com que essa tecnologia evolui. Como ela é uma ferramenta que sofre saltos evolutivos em questão de semanas, qualquer menção a um novo padrão normativo geraria expectativas em um mercado.
Por isso, o nosso foco imediato está em fornecer diretrizes práticas que orientem o mercado de meios de pagamento em duas frentes: o uso da IA para reforçar os processos de segurança internos e a sua aplicação nas validações de conformidade e controle. Além disso, nós promovemos esse debate globalmente por meio dos nossos eventos anuais, os Community Meetings. Nessas conferências, cujo conteúdo do ano passado já está disponível no YouTube, reunimos pesquisadores renomados e líderes do setor. Para os eventos deste ano de 2026, inclusive, já notamos um volume massivo de propostas de palestras voltadas à segurança da IA aplicada aos pagamentos, consolidando este como um tópico em máxima evidência do qual não temos como fugir.
Quais são os desafios do Brasil e da América Latina em relação às boas práticas de segurança?
No Brasil, nós contamos com o Regional Engagement Board (REB desde 2018. O principal objetivo do REB é apoiar o Conselho com informações específicas do país e da região para nos ajudar a aprimorar os padrões de segurança, o que inclui mapear desafios locais, monitorar tendências e avaliar tecnologias emergentes. O Brasil é considerado uma região-chave no mundo, não apenas pelo Conselho, mas também pelas próprias bandeiras de pagamento.
Para se ter uma ideia da nossa relevância, o REB existia exclusivamente no Brasil desde 2018; apenas no ano passado é que expandimos esse modelo criando um segundo grupo na Índia. Contamos com um ecossistema de instituições financeiras altamente maduras, processadoras, comércios e um mercado de fintechs em franca expansão, além de organizações com operações transfronteiriças (cross-border) atuando em toda a América Latina. Embora os padrões oficiais do PCI sejam projetados para uso global, nós aproveitamos essa proximidade regional para absorver o cenário local e calibrar as normas.
Uma grande vantagem da nossa região é o nível de maturidade das organizações brasileiras, que é muito elevado e respeitado no exterior. Há todo um contexto histórico vindo desde a época da hiperinflação que nos obrigou a inovar constantemente em termos de sistemas bancários, e hoje temos empresas que cumprem rigorosamente os padrões de segurança há mais de dez ou quinze anos.
Quais são as principais vulnerabilidades e desafios em termos de conscientização que a América Latina e as novas fintechs enfrentam hoje?
A conscientização e a consolidação de uma cultura de segurança ainda são desafios expressivos na América Latina, tornando-se gargalos ainda mais críticos diante do surgimento de ataques direcionados potencializados por inteligência artificial, como golpes de engenharia social por voz.
Além disso, observamos um ponto de atenção importante no segmento de fintechs em estágio inicial ou de menor porte. Pressionadas pelo desafio diário de inovar, acelerar tecnologias e entregar novos produtos, muitas dessas empresas canalizam toda a sua energia no desenvolvimento do negócio e deixam os controles de conformidade em segundo plano.
Sempre reforçamos que, enquanto uma grande corporação consegue absorver o impacto de um incidente cibernético, para uma fintech que está começando, um vazamento de dados ou uma fraude pode ser fatal, aniquilando sua credibilidade e inviabilizando sua continuidade no mercado. Os padrões de segurança não existem para frear a evolução do mercado, mas sim para garantir que a inovação chegue ao público de forma sólida e protegida.
Para finalizar, o que você destacaria em termos de atualizações que o Conselho pretende apresentar ao mercado para enfrentar esse novo cenário com a inteligência artificial?
O PCI Council é uma organização essencialmente colaborativa que conta com grupos como o Board of Advisors, o Roadmap Roundtable Group e os REBs para nos reportar o que acontece na ponta. Nossos padrões não são estáticos e passam por atualizações constantes; recentemente migramos para a versão 4.0.1 e, no final deste ano de 2026, iniciaremos o processo de transição para a versão 5.0. Para que isso aconteça, abrimos a norma para comentários e sugestões dos stakeholders.
Na prática, se a inteligência artificial se consolidar como um fator crítico a ponto de exigir novos requisitos normativos, este será o momento ideal para que as organizações nos alertem sobre a necessidade de incluir essas variáveis. Queremos que as dificuldades ou evoluções trazidas pela IA sejam incorporadas nesses ciclos normais de revisão para não se tornarem um gargalo operacional. Embora um padrão exclusivo para IA não esteja no radar imediato do Conselho — já que nosso foco permanece na segurança do ecossistema de meios de pagamento —, nada impede que passemos a tratar a IA de forma mais profunda e abrangente dentro das revisões periódicas, desde que haja uma demanda legítima do mercado.
