Um dos argumentos mais comuns de quem hesita em investir nos Estados Unidos ou em outros mercados internacionais é simples e compreensível: não sei onde meu dinheiro está. O banco que eu conheço, onde tenho conta há décadas, onde tenho o gerente que me atende pessoalmente — esse eu entendo. O que acontece com o meu dinheiro quando ele atravessa fronteiras, passa por sistemas que nunca vi, chega a uma corretora num país que nunca visitei — esse processo parece opaco, arriscado, quase misterioso.
Na madrugada de 29 de junho de 2025, enquanto dormíamos, R$ 813 milhões foram desviados do sistema financeiro brasileiro em poucas horas. O ataque foi executado via Pix — o sistema de pagamentos instantâneos brasileiro, que todos os dias processa dezenas de bilhões de reais em transações que parecem simples e seguras porque são rápidas e familiares. A C&M Software, prestadora de serviços tecnológicos homologada pelo Banco Central, foi o ponto de entrada. Um funcionário foi aliciado. Credenciais legítimas foram usadas de forma fraudulenta. O valor desviado equivale a cinco vezes o famoso assalto ao Banco Central de Fortaleza em 2005.
Esse episódio revela algo que este artigo quer deixar claro: familiaridade não é segurança. Proximidade não é segurança. O banco que você conhece opera na mesma internet, usa as mesmas tecnologias e enfrenta as mesmas ameaças cibernéticas que qualquer instituição financeira do mundo — frequentemente com menos recursos para se proteger do que os grandes players internacionais.
Resposta rápida: As transferências internacionais são protegidas por múltiplas camadas de tecnologia e regulação: criptografia de ponta a ponta (TLS/SSL e AES-256), rede SWIFT com protocolos de segurança rígidos, blockchain para rastreabilidade imutável, e supervisão de reguladores como SEC (EUA), CVM (Brasil), FCA (Reino Unido) e a estrutura da União Europeia. Corretoras americanas como Interactive Brokers e Charles Schwab têm proteção do SIPC (até US$ 500.000 por conta) e FDIC (depósitos em caixa). Em 2025, o maior ataque hacker ao sistema financeiro brasileiro desviou R$ 813 milhões via Pix — demonstrando que a ameaça cibernética é doméstica tanto quanto internacional.
O contexto: por que a segurança digital importa mais do que nunca
O crime financeiro migrou do mundo físico para o digital de forma acelerada. Segundo dados da Federação Brasileira de Bancos (Febraban), em 2025, foram registradas apenas 21 ocorrências de assaltos a agências e ataques a caixas eletrônicos no Brasil — o menor número em 12 anos, numa série histórica que registrou 3.089 ocorrências em 2015. Os criminosos não pararam de roubar. Mudaram de endereço.
Em 2025, o Banco Central recebeu 76 notificações de incidentes cibernéticos graves de instituições financeiras — 11 vezes mais do que os sete incidentes reportados em 2018. O sistema financeiro brasileiro registrou 12 milhões de indícios de fraude, crescimento de 66,9% em relação a 2024. A inteligência artificial está sendo usada para criar phishing mais sofisticado, deepfakes de voz para engenharia social e ataques automatizados em escala sem precedente.
Nesse contexto, a pergunta relevante não é "o mercado internacional é seguro?" — é "onde os riscos são melhor gerenciados e onde as proteções são mais robustas?"
Como funciona a internet que conecta o sistema financeiro global
Para entender a segurança das transferências internacionais, é preciso entender, em linhas gerais, a infraestrutura sobre a qual elas acontecem.
A internet é uma rede de redes — milhões de computadores e servidores conectados por cabos físicos (incluindo cabos submarinos que cruzam oceanos), redes de fibra óptica terrestres e, crescentemente, satélites de baixa órbita. Não existe um "centro" da internet — ela foi projetada deliberadamente de forma descentralizada, para sobreviver a falhas em qualquer ponto da rede.
Quando você faz uma transferência internacional, os dados não "viajam" como uma carta num envelope. Eles são divididos em pacotes menores, cada um com o endereço de origem e destino, e esses pacotes seguem caminhos diferentes pela rede — passando por roteadores que os direcionam da forma mais eficiente possível. Quando chegam ao destino, são remontados na ordem correta. Tudo isso acontece em milissegundos.
O que garante que esses pacotes não sejam interceptados e lidos por terceiros ao longo do caminho é a criptografia.
Criptografia: o cofre invisível em torno de cada transação
Criptografia é o processo de transformar informação legível em código ilegível para qualquer pessoa que não tenha a chave correta para decifrá-lo. É o equivalente digital de um cofre matemático — exceto que, na versão moderna, seria necessário um computador mais poderoso do que todos os existentes no planeta durante mais anos do que a idade do universo para quebrá-lo por força bruta.
TLS/SSL: o cadeado do seu navegador
O protocolo TLS (Transport Layer Security), também conhecido pelo predecessor SSL (Secure Sockets Layer), é o que garante que a comunicação entre seu dispositivo e o servidor do banco ou da corretora seja criptografada. É representado pelo cadeado que aparece ao lado do endereço do site no navegador e pelo "https://" (o "s" significa "secure").
Quando você se conecta ao site da sua corretora, os dois sistemas trocam chaves criptográficas numa espécie de aperto de mão digital (handshake). Depois disso, todo dado transmitido — login, senha, dados de transferência — é criptografado com uma chave que só esses dois sistemas possuem. Se alguém interceptar os pacotes no meio do caminho, verá apenas sequências de caracteres sem sentido.
AES-256: o padrão de criptografia do sistema financeiro global
O AES-256 (Advanced Encryption Standard com chave de 256 bits) é o padrão de criptografia simétrica usado pelo sistema financeiro global — e pelo governo americano para informações classificadas. Para quebrar uma chave AES-256 por força bruta, seriam necessários mais de 10^77 anos usando todos os computadores existentes. O universo tem cerca de 13,8 bilhões de anos — 10^10. A criptografia não é a camada fraca do sistema financeiro global.
Criptografia de chave pública e assinaturas digitais
Além da criptografia de dados em trânsito, o sistema financeiro usa criptografia assimétrica para autenticação. Cada instituição financeira tem um par de chaves — uma pública (que qualquer um pode conhecer) e uma privada (conhecida apenas pela instituição). Uma mensagem criptografada com a chave privada só pode ser decifrada com a chave pública correspondente — provando matematicamente que a mensagem veio de quem diz ter vindo. Esse é o princípio das assinaturas digitais que autenticam cada instrução de transferência no sistema financeiro global.
SWIFT: a espinha dorsal das transferências internacionais
A maioria das transferências internacionais entre bancos passa pela rede SWIFT — Society for Worldwide Interbank Financial Telecommunication. Fundada em 1973 e com sede na Bélgica, a SWIFT conecta mais de 11.000 instituições financeiras em mais de 200 países, processando mais de 40 milhões de mensagens financeiras por dia.
A SWIFT não movimenta dinheiro — ela transmite mensagens padronizadas entre bancos, instruindo transferências. O dinheiro em si se move entre as contas que os bancos mantêm uns nos outros (contas correspondentes) ou nos bancos centrais. Mas a mensagem SWIFT é o instrumento legal que autoriza e registra cada movimento.
O sistema SWIFT tem múltiplas camadas de segurança:
Rede privada: a SWIFT opera em sua própria rede de telecomunicações privada, separada da internet pública — embora se conecte a ela em pontos controlados;
Autenticação de dois fatores: toda mensagem SWIFT requer autenticação de pelo menos dois sistemas ou operadores independentes;
Criptografia ponta a ponta: todas as mensagens são criptografadas desde o emissor até o receptor;
Programa CSCF (Customer Security Controls Framework): conjunto obrigatório de controles de segurança que todas as instituições conectadas à rede SWIFT devem implementar e auditar anualmente.
O maior ataque documentado à rede SWIFT foi o roubo de US$ 81 milhões do banco central de Bangladesh em 2016 — executado não quebrando a criptografia da rede, mas comprometendo os sistemas internos do banco central bangladeshiano para enviar mensagens SWIFT fraudulentas com credenciais legítimas. A lição: a rede é segura; o elo mais fraco é sempre o elemento humano e os sistemas internos das instituições que a ela se conectam.
Blockchain: rastreabilidade imutável como camada adicional
A tecnologia blockchain — popularizada pelas criptomoedas, mas adotada crescentemente pelo sistema financeiro tradicional — adiciona uma camada de rastreabilidade imutável às transações financeiras. Como discutido no artigo sobre Ethereum desta série, uma blockchain é um registro distribuído de transações que não pode ser alterado retroativamente sem que todos os participantes da rede percebam.
No contexto financeiro, bancos como JPMorgan (com sua plataforma Onyx e a stablecoin JPM Coin) e o Banco Central do Brasil (com o desenvolvimento do DREX, o real digital) estão usando tecnologia blockchain para criar trilhas de auditoria imutáveis de transações — especialmente úteis para transferências internacionais, que atualmente podem levar dias para serem liquidadas definitivamente.
A tokenização de ativos sobre blockchain — como discutido no artigo sobre o Ethlabs desta série — cria registros de propriedade que são publicamente verificáveis e impossíveis de falsificar sem comprometer toda a rede. É uma camada de segurança estruturalmente diferente da que os sistemas bancários tradicionais oferecem.
As camadas regulatórias: quem supervisiona o dinheiro no exterior
Além da tecnologia, o sistema financeiro internacional opera sob supervisão regulatória de múltiplas camadas — e as exigências regulatórias das principais jurisdições são, em muitos casos, mais rigorosas do que as brasileiras.
Nos Estados Unidos
SEC (Securities and Exchange Commission): supervisiona corretoras, gestoras de fundos e qualquer entidade que ofereça valores mobiliários ao público americano. Toda corretora americana que aceita clientes brasileiros (Interactive Brokers, Charles Schwab) é registrada e supervisionada pela SEC, com obrigações de segregação de ativos de clientes, relatórios periódicos e capital mínimo;
FINRA (Financial Industry Regulatory Authority): autorregulador que supervisiona corretoras e profissionais de valores mobiliários, com foco em proteção do investidor;
SIPC (Securities Investor Protection Corporation): garante os ativos de clientes de corretoras americanas até US$ 500.000 por conta (incluindo US$ 250.000 em dinheiro) em caso de falência da corretora — não contra perdas de mercado, mas contra falência institucional. A Interactive Brokers tem cobertura adicional de até US$ 30 milhões por conta via seguro privado suplementar;
FDIC (Federal Deposit Insurance Corporation): garante depósitos bancários até US$ 250.000 por depositante por banco.
No Brasil
CVM (Comissão de Valores Mobiliários): supervisiona o mercado de valores mobiliários brasileiro, incluindo BDRs e ETFs negociados na B3;
Banco Central: regula e supervisiona instituições financeiras, incluindo corretoras de câmbio e as novas normas para fintechs (como as Resoluções BCB 521 e 561 sobre stablecoins, discutidas em artigo anterior desta série);
FGC (Fundo Garantidor de Créditos): cobertura de até R$ 250.000 por CPF por instituição para depósitos e CDBs.
Na União Europeia
MiFID II (Markets in Financial Instruments Directive): regulamentação que obriga proteção do investidor, transparência de custos e adequação de produtos ao perfil do cliente em toda a UE;
MiCA (Markets in Crypto-Assets Regulation): o marco regulatório europeu para criptoativos, que entrou em vigor em 2024 e inclui o USDC e outras stablecoins relevantes;
Proteção de depósitos: esquemas de garantia de depósitos em cada país membro da UE cobrem até €100.000 por depositante por instituição.
Como funciona uma transferência internacional na prática
Para desmistificar o processo, eis o que acontece quando um brasileiro transfere dinheiro para uma corretora americana:
Câmbio no Brasil: o investidor contrata uma operação de câmbio com um banco ou corretora de câmbio autorizada pelo Banco Central. O dinheiro em reais é convertido em dólares à taxa de câmbio acordada, com registro na posição cambial da instituição;
Transmissão via SWIFT: a instrução de transferência é enviada via SWIFT do banco brasileiro para o banco correspondente americano. A mensagem é criptografada, autenticada e registrada em múltiplos pontos da rede;
Liquidação nos EUA: os dólares chegam ao banco correspondente americano, que os credita na conta da corretora do investidor. A liquidação internacional (SWIFT) tipicamente leva 1-2 dias úteis;
Confirmação e custódia: a corretora americana credita os fundos na conta do cliente e os mantém em custódia segregada — separada do capital próprio da corretora, por exigência da SEC. Se a corretora quebrar, os ativos do cliente não fazem parte da massa falida.
Todo esse processo deixa rastros auditáveis em múltiplos sistemas — no Banco Central brasileiro (via CBE), na SWIFT, nos bancos correspondentes e na corretora americana. É precisamente essa rastreabilidade multi-jurisdicional que torna o sistema financeiro internacional mais difícil de fraudar em larga escala do que sistemas puramente domésticos.
O que o ataque à C&M Software revela — e o que não revela
O ataque de 29 de junho de 2025 merece análise detalhada, porque é frequentemente mal compreendido. Os criminosos não quebraram a criptografia do Pix. Não invadiram o sistema do Banco Central. Não hackaram os bancos diretamente.
O que fizeram foi identificar um elo fraco na cadeia: a C&M Software, uma prestadora de serviços de tecnologia de menor porte que conectava instituições financeiras ao sistema Pix. Durante 3-4 meses, estudaram os sistemas da empresa. Aliciaram um funcionário interno. Na noite de domingo — quando os sistemas de monitoramento humano estavam reduzidos —, usaram credenciais legítimas desse funcionário para gerar ordens de pagamento fraudulentas.
R$ 813 milhões foram desviados antes que o ataque fosse detectado. Os recursos foram pulverizados imediatamente via Pix para corretoras de criptomoedas — usando a velocidade e a finalidade do próprio sistema como escudo.
O que esse episódio ensina não é que o Pix é inseguro — é que o elo mais fraco de qualquer cadeia de segurança é o elemento humano, especialmente em prestadores de serviços de menor porte com menos recursos para segurança cibernética. Os grandes bancos americanos — JP Morgan, Goldman Sachs, Citibank — investem bilhões de dólares anuais em cibersegurança. A Interactive Brokers, por exemplo, investe consistentemente mais de 15% de sua receita em tecnologia e segurança. A comparação com uma PSTI brasileira de porte médio não é favorável à segunda.
A segregação de ativos: por que a falência da corretora não afeta seu dinheiro
Um dos maiores medos do investidor que pensa em manter dinheiro no exterior é: "E se a corretora quebrar?" É um medo legítimo — mas que o sistema americano endereça de forma muito mais robusta do que o brasileiro.
Por exigência da SEC, corretoras americanas são obrigadas a manter os ativos dos clientes completamente segregados do capital próprio da instituição. Isso significa que as ações, ETFs e dinheiro que você tem na Interactive Brokers ou na Charles Schwab não aparecem no balanço patrimonial da corretora como ativos delas — pertencem a você, ficam em sua conta, sob custódia da corretora.
Se a corretora quebrar, os ativos dos clientes não entram na massa falida. O SIPC gerencia o processo de transferência das contas para outra corretora. O colapso da MF Global em 2011 e o da Lehman Brothers em 2008 são os testes mais relevantes desse sistema — e em ambos os casos, os ativos segregados de clientes foram protegidos, ainda que o processo de recuperação levasse tempo.
O colapso da FTX em 2022 — que resultou em perdas para clientes — é frequentemente citado como contra-exemplo. Mas a FTX não era uma corretora regulada pela SEC: era uma exchange de criptomoedas que misturava ativos de clientes com capital próprio de forma deliberada e fraudulenta, exatamente o comportamento que a regulação americana proíbe explicitamente para corretoras registradas.
Comparação: proteções do investidor no Brasil e nos EUA
Uma síntese das proteções disponíveis em cada jurisdição:
Em caso de falência da instituição: FGC cobre CDBs e depósitos até R$ 250.000 por CPF por instituição no Brasil. SIPC cobre até US$ 500.000 por conta (incluindo US$ 250.000 em caixa) nos EUA para corretoras registradas, mais cobertura suplementar em muitas corretoras;
Segregação de ativos: obrigatória por regulação da SEC nos EUA. No Brasil, corretoras também têm obrigações de segregação, mas o framework regulatório americano é mais testado e mais antigo;
Supervisão regulatória: CVM e Banco Central no Brasil; SEC, FINRA, OCC e Fed nos EUA — com histórico de enforcement mais extenso e mais público;
Transparência de reporting: corretoras americanas publicam relatórios financeiros auditados trimestralmente, com disclosure de capital próprio, liquidez e exposições. O nível de transparência exigido é maior do que o padrão brasileiro para a maioria das corretoras.
Boas práticas de segurança para o investidor individual
A tecnologia e a regulação constroem as paredes do cofre. O investidor é quem controla a porta. As práticas mais importantes:
Autenticação de dois fatores (2FA): sempre ative o 2FA em todas as contas financeiras — brasileiras e internacionais. Preferencialmente usando um aplicativo autenticador (Google Authenticator, Authy) em vez de SMS, que pode ser interceptado via SIM swapping;
Senhas fortes e únicas: nunca reutilize senhas entre serviços financeiros. Um gerenciador de senhas (1Password, Bitwarden) facilita a gestão de dezenas de senhas complexas;
Verificação do endereço: sempre confirme que está no site correto antes de inserir credenciais. Ataques de phishing replicam sites de corretoras com URLs quase idênticas;
Desconfie de comunicações não solicitadas: corretoras e bancos sérios nunca pedem sua senha ou código de autenticação por telefone, e-mail ou WhatsApp. Se alguém ligar pedindo, é golpe;
Atualize regularmente: manter os aplicativos e o sistema operacional atualizados elimina vulnerabilidades conhecidas que hackers exploram sistematicamente;
Use redes confiáveis: nunca acesse contas financeiras em redes Wi-Fi públicas sem VPN.
Cuidados ao avaliar a segurança de uma instituição internacional
Verifique o registro regulatório: toda corretora americana legítima que aceita clientes é registrada na FINRA — verificável no site BrokerCheck (brokercheck.finra.org);
Confirme a cobertura SIPC: todas as corretoras membro da SIPC são listadas no site da organização (sipc.org);
Prefira instituições estabelecidas: Interactive Brokers (fundada em 1978), Charles Schwab (1971), Fidelity (1946) têm décadas de histórico, capital robusto e investimento contínuo em segurança;
Leia os relatórios financeiros: corretoras americanas publicam seus relatórios financeiros auditados — um sinal de saúde financeira é capital próprio muito maior do que o mínimo exigido pelo regulador.
Checklist: sua infraestrutura de segurança está em ordem?
Você tem autenticação de dois fatores ativada em todas as suas contas financeiras?
Suas senhas financeiras são únicas e complexas — diferentes entre si?
Você verificou o registro regulatório das instituições onde mantém investimentos (CVM/Banco Central no Brasil, FINRA nos EUA)?
Entende a cobertura de proteção de cada conta (FGC no Brasil, SIPC nos EUA)?
Sabe onde reportar uma suspeita de fraude — no Brasil (BC) e nos EUA (SEC, FINRA)?
Conclusão: o dinheiro mais seguro não é necessariamente o mais próximo
O maior ataque hacker ao sistema financeiro brasileiro em 2025 não aconteceu numa corretora americana. Aconteceu via Pix — o sistema de pagamentos que todos os brasileiros usam e consideram seguro por ser familiar e instantâneo. O elo fraco foi um prestador de serviços doméstico de menor porte, com recursos de segurança inferiores aos das grandes instituições internacionais.
Isso não significa que o sistema financeiro brasileiro é inseguro por definição — significa que segurança não é uma propriedade de localização geográfica. É uma propriedade de investimento em tecnologia, robustez regulatória, segregação de ativos e cultura de compliance. E nessas dimensões, as principais corretoras e bancos americanos têm vantagens estruturais relevantes sobre boa parte das instituições domésticas brasileiras.
O investidor que ainda hesita em investir no exterior por não entender "onde o dinheiro fica" tem razão em querer entender — e este artigo tentou responder a essa pergunta. Mas o medo deveria ser proporcional ao risco real, não à familiaridade percebida. E o risco real, medido objetivamente, não favorece necessariamente o que está mais perto.
Use o Mapa do Investidor Internacional para entender como estruturar sua carteira internacional em instituições regulamentadas e seguras, adequadas ao seu perfil. Se preferir conversar com nosso time, clique no botão vermelho.
As informações deste artigo têm caráter educativo e refletem dados públicos disponíveis em junho de 2026. Dados sobre incidentes cibernéticos e regulamentação estão sujeitos a atualização. Nada neste conteúdo constitui recomendação individual de investimento ou assessoria jurídica sobre segurança digital. Consulte sempre profissionais habilitados.






