TIBER-EU e o futuro do Red Team regulatório no Brasil

TIBER-EU é o framework de Red Team mais estruturado do mundo para o setor financeiro. Foi criado pelo Banco Central Europeu em 2018 e em 2026 está em uso ativo em 14 países europeus. No Brasil, ele ainda não é exigência regulatória explícita, mas a conversa está acelerando — e instituições com matriz europeia já operam sob ele aqui.

Este artigo é para decisor de instituição financeira, fintech regulada ou empresa de infraestrutura crítica que quer entender o que é TIBER, por que está virando padrão internacional, e o que precisa para operar em conformidade.

O que é TIBER-EU em uma frase

TIBER-EU (Threat Intelligence-Based Ethical Red Teaming for the European Union) é um framework regulatório que prescreve como conduzir Red Team Assessment em instituições financeiras críticas, usando inteligência de ameaças sob medida como base do cenário e com supervisão de um regulador.

O diferencial de TIBER vs Red Team comum:

1. Threat Intelligence sob medida precede a operação: um fornecedor independente produz um "Targeted Threat Intelligence Report" descrevendo os adversários mais prováveis para aquela instituição específica
2. Red Team replica TTPs desses adversários: não é genérico — é "como APT29 atacaria este banco, hoje"
3. Regulador supervisiona (no caso europeu, o BCE ou banco central nacional)
4. Resultados são compartilhados em pool: aprendizados anônimos vão para outras instituições reguladas, criando inteligência setorial

Por que isso importa para empresas brasileiras agora

1. Grupos internacionais já exigem internamente

Bancos com matriz europeia (Santander, BBVA, BNP Paribas, Société Générale) já rodam TIBER-style em suas operações brasileiras. Se você fornece serviço crítico para algum deles, espere ser perguntado se sua operação suporta TIBER no próximo ciclo de due diligence.

2. Resolução BCB 6.929 abriu o caminho

A regulação brasileira sobre risco operacional cibernético, embora não cite TIBER nominalmente, exige "testes adversariais que reflitam ameaças realistas". Como o BACEN historicamente segue referenciais europeus em risco operacional, é razoável esperar que TIBER ou equivalente seja referenciado em ciclos futuros — leia mais em Cybersecurity para Fintechs no Brasil.

3. ANS/ANPD podem seguir o padrão

Para setores com dado sensível (saúde, dados pessoais em escala), o modelo TIBER serve de referência para futuras regulações. Quem se prepara cedo evita correria depois.

4. Cyber insurance está olhando

Seguradoras de risco cibernético internacionais começam a perguntar em underwriting: "vocês conduziram TIBER-style assessment nos últimos 24 meses?". Resposta afirmativa reduz prêmio anual.

A estrutura TIBER em 4 fases

Fase 1 — Preparação (4-6 semanas)

• White Team formado: 3-5 pessoas, incluindo CISO, líder de risco operacional, advogado-chefe, sponsor C-level, e (se aplicável) representante do regulador
• TI Procurement: contratação separada de provider de Threat Intelligence (TI) e de provider de Red Team (RT) — devem ser empresas diferentes
• Definição de "Critical Functions" da instituição: quais sistemas, se comprometidos, geram impacto sistêmico
• Definição de escopo geográfico e legal

Fase 2 — Threat Intelligence (6-8 semanas)

• TI provider produz "Generic Threat Landscape Report" do setor
• Em seguida, "Targeted Threat Intelligence Report" específico para a instituição: quem são os adversários prováveis, que TTPs usam, que motivações teriam para atacar esta instituição
• Red Team usa este report para construir cenários de operação

Fase 3 — Red Team Testing (10-14 semanas)

• Execução de 1-3 cenários derivados dos relatórios de TI
• Objetivos pré-definidos atingindo Critical Functions
• White Team monitora; Blue Team não é avisado
• Comunicação extremamente restrita

Fase 4 — Closure (4-6 semanas)

• Replay tecnicamente conduzido entre Red Team e Blue Team
• Relatórios separados: técnico, de gestão, executivo
• Compartilhamento anônimo de aprendizados com o regulador (modo europeu)
• Plano de remediação com SLA

Total: 6 a 9 meses do início ao fim.

Quanto custa uma operação TIBER no Brasil

Operação TIBER completa exige no mínimo duas contratações:

• Targeted Threat Intelligence: R$ 80 mil a R$ 200 mil. Empresas que fazem CTI sob medida no Brasil em 2026 são poucas — leia guia de Threat Intelligence.
• Red Team Assessment TIBER-aligned: R$ 550 mil a R$ 1,3 milhão. Faixa alta da faixa de Red Team no Brasil.
• Coordenação e governança interna: tipicamente 200-400h do CISO e White Team, custo interno R$ 80-150 mil.
• Total típico: R$ 700 mil a R$ 1,5 milhão por ciclo (geralmente 18-24 meses entre ciclos)

É caro? Sim. Mas é o que define o "Tier-1" do mercado financeiro. Bancos top-5 europeus rodam ciclo TIBER a cada 18 meses, sem exceção.

Os 7 critérios de prontidão para TIBER

Antes de contratar uma operação TIBER no Brasil, sua instituição precisa de:

1. SOC operacional 24/7 com runbook formalizado para no mínimo 30 cenários de detecção
2. Plano de IR formalizado testado em tabletop nos últimos 6 meses (leia plano de IR template)
3. Histórico de pentest contínuo nos ativos críticos com taxa de remediação documentada
4. Inventário completo de Critical Functions e seus sistemas suportes
5. White Team formalmente instituído em política interna
6. Capacidade jurídica para acompanhar o engagement (NDA enterprise, safe harbor para operadores, política de tratamento de dados sensíveis)
7. Patrocínio executivo: presença do CEO ou pelo menos um C-level no White Team

Empresa sem ao menos 5 dos 7 não tem maturidade para extrair valor do exercício. Construa a base primeiro.

O que diferencia uma operação TIBER bem feita

O frame regulatório existe, mas a execução varia muito. Sinais de operação TIBER de qualidade:

• TI Provider e RT Provider são empresas completamente independentes — não há cross-ownership
• Targeted Threat Intelligence Report tem 50+ páginas com adversários nomeados, TTPs específicas, motivações racionais — não é genérico
• Cenários do Red Team derivam diretamente dos achados de TI — você consegue rastrear cada ação da operação a uma TTP do report
• White Team tem charter formal, com responsabilidades documentadas
• Replay com Blue Team é conduzido em modo educacional, sem culpabilização
• Relatório final inclui roadmap de remediação com SLA e proprietários

O que esperar do BACEN nos próximos 12-24 meses

Nossa leitura, baseada em conversas com a comunidade de risco operacional financeiro e nos movimentos paralelos do BCB:

• Provável publicação de "Guia de Testes Adversariais" não-vinculante no curto prazo, referenciando práticas internacionais (incluindo TIBER e CBEST)
• Para instituições de "Segmento 1" (grandes bancos), expectativa razoável de evolução para exigência explícita em 24-36 meses
• Para fintechs em IF de pagamento, exigência mais branda, possivelmente focada em "testes equivalentes a Red Team"
• Para conglomerados internacionais com operação no Brasil, antecipe a exigência via matriz

Não tomamos isso como certeza, mas como direcionamento razoável para planejamento de orçamento de 2026-2028.

Para quem ainda não está pronto

Se você não tem ainda os 7 critérios, o caminho é gradual:

1. Ano 1: Construir base — pentest contínuo, SOC operacional, plano de IR. Custo: R$ 300-600 mil/ano.
2. Ano 2: Adicionar BAS + Purple Team — calibrar detecção, treinar Blue Team. Custo: +R$ 250 mil/ano.
3. Ano 3: Red Team Assessment standard. Custo: R$ 300-500 mil.
4. Ano 4: Operação TIBER-aligned completa. Custo: R$ 700 mil-1,5 milhão.

Esse caminho de 4 anos transforma uma instituição financeira média em uma instituição preparada para operar sob qualquer framework de risco operacional cibernético internacional.

Conclusão

TIBER-EU não é obrigatório no Brasil, mas é a melhor referência operacional disponível para Red Team em instituição financeira séria. Mesmo sem exigência regulatória, instituições que se alinham ao framework demonstram maturidade que satisfaz auditores internacionais, seguradoras de cyber e parceiros enterprise.

Para a maioria das instituições brasileiras, TIBER é uma meta de 3-4 anos. O passo imediato é amadurecer Red Team standard — comece pelo guia do decisor.