Nesta edição:
Opinião:O que a evolução das ameaças ensina aos Conselhos deAdministração, por Marcos Nassutti
Governança corporativa em tempos de crise de confiança, por Laio Gastaldello Zambello
Pílulas tributárias, por Mariana Di Nardo
Newsletter – ACBrasil
Nº 118 – 27 de março de 2026
Olá! Esta é a sua newsletter da ACBrasil
Um clipping sobre as iniciativas da ACBrasil e temas relevantes para a governança corporativa
Ataque hacker a banco desvia R$ 100 milhões
No último domingo, o BTG Pactual sofreu um ataque hacker recente, em 22 de março de 2026, que resultou no desvio de aproximadamente R$ 100 milhões. O incidente causou a suspensão temporária das operações via Pix para todos os clientes como medida preventiva.O banco afirmou oficialmente que não houve acesso a contas de clientes nem exposição de dados de correntistas.O montante desviado eram recursos próprios do BTG, mantidos junto ao Banco Central (conta reserva), e não ao saldo individual dos usuários.
Uma notícia sobre o ataque hacker ao BTG pode ser acessada aqui:
Opinião
O que a evolução das ameaças ensina aos Conselhos de
Administração
Marcos Nassutti,head do Comitê de Riscos da ACBrasil
https://www.linkedin.com/in/marcosnassutti/
A segurança cibernética deixou de ser um tópico restrito aos relatórios técnicos de TI para se tornar uma das principais pautas de governança corporativa. Para entender essa transição, não precisamos olhar para o Vale do Silício; basta analisar a evolução recente dos incidentes envolvendo o ecossistema Pix no Brasil, especificamente os eventos que atingiram o BTG entre 2024 e 2026.
Como conselheiro de administração, compreender a anatomia desses incidentes é fundamental. Eles ilustram, na prática, como os riscos corporativos estão se transformando e por que a resiliência cibernética deve ser uma preocupação central, independentemente do setor em que sua empresa atua.
O primeiro alerta: ovazamento de 2024 e o risco de conformidade
Em agosto de 2024, o Banco Central comunicou um vazamento de dados que afetou cerca de 8 mil chaves Pix vinculadas ao BTG. O que aconteceu ali? Indivíduos mal-intencionados utilizaram números de CPF (obtidos em vazamentos anteriores de outras fontes) para realizar consultas massivas no sistema do banco. Devido a falhas pontuais na configuração dessas consultas, eles conseguiram visualizar dados cadastrais, como nome, agência e conta corrente.
O letramento para o Conselho: este é um exemplo clássico de risco de conformidade e reputacional.
Não houve invasão aos servidores (o “cofre” do banco), nem exposição de senhas ou saldos. O risco aqui está ligado à Lei Geral de Proteção de Dados (LGPD) e às normativas do Banco Central. O incidente demonstra como uma falha na configuração de uma interface de consulta (uma API voltada para o público) pode expor a empresa a sanções regulatórias e arranhar a confiança do cliente. A lição inicial é que a segurança não trata apenas de impedir hackers de roubar dinheiro, mas de garantir que os sistemas sejam desenhados com a privacidade como premissa (Privacyby Design).
A escalada: o ataque de 2026 e o risco sistêmico
O cenário mudou drasticamente em março de 2026. Em um domingo de manhã, o BTG sofreu um ataque cibernético sofisticado que resultou no desvio de aproximadamente R$ 100 milhões. Desta vez, o alvo não foram os dados dos clientes, mas a própria infraestrutura de back-end do banco — especificamente, as conexões (APIs) que ligam a instituição ao Sistema de Pagamentos Instantâneos (SPI) do Banco Central.
O dinheiro desviado não saiu das contas dos correntistas, mas das reservas de liquidação que o banco mantém junto ao BC para garantir as operações do Pix. O banco agiu rápido: suspendeu preventivamente todas as operações via Pix, estancou o ataque e conseguiu recuperar a maior parte do valor rapidamente.
O letramento para o Conselho: Este evento ilustra a materialização do risco financeiro direto eOperacional. Os atacantes evoluíram. Eles perceberam que é mais lucrativo atacar a “camada invisível” da infraestrutura, onde grandes volumes de recursos transitam em milissegundos, do que tentar fraudar clientes individualmente. A decisão de suspender o Pix preventivamente é um exemplo de gestão de crise: a empresa aceitou o atrito operacional (clientes sem conseguir fazer transferências no domingo) para proteger o patrimônio e a integridade do sistema.
Lições aprendidas: por que isso importa para a sua indústria?
Se você atua no conselho de uma indústria de manufatura, de uma rede de varejo, de um hospital ou de uma empresa de logística, pode estar pensando: “Nós não somos um banco, não temos contas de liquidação no Banco Central. Qual é a relevância disso para nós?”
A resposta é: toda. A arquitetura dos ataques mudou, e as vulnerabilidades exploradas no setor financeiro existem em qualquer cadeia de valor digitalizada. Aqui estão as lições transversais que todo conselheiro deve levar para sua próxima reunião:
- O alvo agora é a infraestrutura invisível (APIs e Integrações) – assim como os hackers atacaram as
APIs que conectam o banco ao Banco Central, eles podem atacar as APIs que conectam o seu sistema de gestão (ERP) aos seus fornecedores logísticos. Se a sua empresa de manufatura depende de sistemas integrados para just-in-time, um ataque a essas conexões pode paralisar sua linha de produção. O Conselho deve perguntar: quais são as nossas integrações críticas e como elas estão protegidas?
- A velocidade do negócio exige defesas em tempo real – o Pix processa transações em segundos, o que reduziu drasticamente a janela de tempo para detectar uma fraude. O mesmo ocorre na Indústria 4.0, no comércio eletrônico e na telemedicina. Se um ataque de ransomware começar a criptografar os servidores do seu centro de distribuição, sua equipe de segurança tem capacidade de detectar e isolar a ameaça em minutos, ou só perceberão quando os caminhões pararem de carregar? A velocidade da detecção deve ser proporcional à velocidade da sua operação.
- O Risco de Terceiros (TPRM) é o seu risco – muitos dos ataques recentes no ecossistema financeiro exploraram vulnerabilidades em provedoras de tecnologia terceirizadas. Na sua indústria, o risco é idêntico. Sua empresa pode ter a melhor segurança de perímetro do mundo, mas se o software de folha de pagamento, o provedor de nuvem ou o sistema do seu principal fornecedor for comprometido, a sua operação estará em risco. O Conselho precisa garantir que as auditorias de segurança se estendam a toda a cadeia de suprimentos.
- Resiliência Operacional e o “Botão de Pânico” – o BTG tomou a difícil decisão de suspender um serviço crítico para conter o ataque. Essa é uma decisão de negócios, não apenas de TI. Em sua empresa, quem tem a autoridade para “puxar a tomada” de uma operação vital em caso de suspeita de invasão? Os protocolos de crise estão claros? O Conselho já participou de simulações (tabletopexercises) que testam essas decisões sob pressão?
O caso do BTG não é apenas uma manchete financeira; é um estudo de caso sobre a evolução das ameaças digitais. Os invasores não estão mais apenas tentando roubar senhas; eles estão testando a resiliência estrutural das organizações. Garantir que a empresa esteja preparada para esse novo nível de ameaça não é mais uma tarefa exclusiva da área de tecnologia. É, fundamentalmente, um dever fiduciário do Conselho de Administração.
Governança
Governança corporativa em tempos de crise de confiança
Laio GastaldelloZambelo, do Comitê Jurídico da ACBrasil
https://www.linkedin.com/in/laiogastaldello/
Nos últimos anos e, principalmente, no ano de 2026, estamos vivenciando inúmeras crises corporativas envolvendo grandes grupos empresariais e instituições financeiras e, ao mesmo tempo, há crise reputacional do Poder Judiciário.
Clientes foram prejudicados, membros da alta liderança de grupos empresariais foram surpreendidos com a busca de responsáveis e a confiança do mercado está abalada.
Nesse contexto de insegurança, a ética e a confiança de grupos empresariais renomados foram colocadas em xeque e o mercado não sabe em quem confiar e onde investir.
Será que essas crises foram originadas por uma única decisão errada ou apenas pela falta de caixa? A resposta é não, para a maioria das situações.
A maioria dos colapsos nas grandes organizações decorre da falta de processos, da falta de transparência e da omissão na supervisão.
Os membros da alta liderança e, eventualmente, os membros de conselhos de administração e de conselhos fiscais, sabem ou deveriam saber que podem ser responsabilizados por decisões e atitudes de terceiros e pela omissão na fiscalização das respectivas empresas em que atuam.
Mais importante que o caixa é a manutenção da boa reputação da organização e dos membros da alta liderança, individualmente.
Em um momento de crises e de insegurança, as principais ferramentas para a proteção de empresas e de executivos são a governança e a transparência.
Para empresas familiares, que representam parcela significativa da economia brasileira e concentram parte relevante da geração de empregos, a governança se torna relevante porque é comum a ausência de estruturas claras, conflitos sucessórios e disputas de poder.
A criação de estruturas, processos e mecanismos institucionais é indispensável para permitir a supervisão efetiva, a tomada de decisões responsáveis e a prevenção de riscos organizacionais e, consequentemente, para manter ou aumentar a boa reputação das organizações.
Entre esses instrumentos, destacam-se a definição das responsabilidades de cada setor, a implementação de conselhos independentes, a existência de políticas de gestão de riscos, a adoção de método seguro e eficaz para controle de tarefas, a existência de acordo de sócios e protocolo familiar e a criação de canal de denúncia independente.
Igualmente relevante é a definição de um planejamento sucessório estruturado. Independentemente de uma empresa possuir ou não característica familiar, a omissão sobre a forma de sucessão pode gerar conflitos internos, incerteza quanto à tomada de decisões em situações de ausência de sócios e, consequentemente, potencializar riscos institucionais e reputacionais para a organização.
Em um cenário de recorrentes crises corporativas e institucionais no Brasil, a governança deixou de ser apenas uma boa prática e passou a ser condição essencial para a sobrevivência das empresas e para a manutenção da confiança de clientes e investidores.
___________________________________
A maioria das vagas de conselheiros é preenchida através de networking.
Na ACBrasil você pode criar e fortalecer contatos e parcerias.
Fale com a gente: contato@acbrasil.org.br
___________________________________
Pílulas tributárias
Mariana DiNardo, do Comitê Jurídico da ACBrasil
https://www.linkedin.com/in/marina-di-nardo-987020b9/
São Paulo acelera o fim da Substituição Tributária
Nos últimos meses, o Estado de São Paulo tem se movimentado de forma clara para reduzir, progressivamente, o regime de Substituição Tributária do ICMS. A publicação da Portaria SRE nº 09, de 17 de março de 2026, aliada às manifestações recentes da SEFAZ-SP, reforça essa direção: o modelo de ICMS-ST, tal como atualmente conhecido, caminha para sua extinção.
A Portaria SRE nº 09/2026 marca mais uma etapa desse processo
A norma representa um marco relevante no desmonte da ST no estado, ao alterar o regulamento aplicável a diversos setores e exigir atenção redobrada das empresas, especialmente quanto ao levantamento de estoque e à reorganização operacional da transição.
Diversos produtos foram excluídos do regime
Entre os itens retirados da Substituição Tributária, destacam-se os produtos do Anexo III, relacionados a cerveja, chope, refrigerante, água e outras bebidas, especialmente os itens 3, 3.1, 5, 5.1, 5.2, 5.3, 5.4, 5.5, 6, 7, 8, 20 e 21.
O setor de sorvetes sofreu revogação integral
No Anexo IV, referente a sorvete e preparado para fabricação de sorvete em máquina, todos os itens foram revogados, o que evidencia uma retirada completa desse segmento do regime de ST.
Materiais de construção também foram alcançados
No Anexo XVII, foram excluídos do regime produtos como telhas, elementos de chaminés, condutores de fumaça, ornamentos arquitetônicos de cerâmica e outros produtos cerâmicos voltados à construção civil.
Produtos de papelaria e papel deixaram integralmente a ST
No Anexo XIX, todos os itens relacionados a produtos de papelaria e papel também foram retirados do regime, ampliando o impacto da Portaria para empresas de segmentos bastante variados.
A saída da ST exige providências imediatas das empresas
Quando um produto deixa o regime de Substituição Tributária e retorna ao sistema normal de débito e crédito, a empresa precisa adotar medidas concretas e imediatas para evitar distorções fiscais e operacionais.
O levantamento de estoque passa a ser etapa indispensável
O primeiro passo é inventariar corretamente o estoque existente no momento da transição, de modo a identificar quais mercadorias ainda carregam ICMS anteriormente antecipado e quais ajustes serão necessários no novo modelo de tributação.
A apuração do crédito precisa ser feita com segurança
Além do inventário, é necessário apurar o crédito do ICMS antecipado na entrada dessas mercadorias. Esse ponto é sensível, porque a falta de controle ou a valoração incorreta do estoque pode comprometer a recuperação do crédito e gerar questionamentos futuros pelo fisco.
A mudança atual reflete a lógica da Reforma Tributária
Em manifestação recente, a própria Secretaria da Fazenda de São Paulo sinalizou de forma enfática que o novo modelo de tributação sobre o consumo, estruturado em torno do IBS e da CBS, não comporta a figura da Substituição Tributária como hoje existe no ICMS.
O Estado já está preparando o terreno para a transição
Ao excluir produtos do regime neste momento, o fisco paulista não está apenas promovendo simplificação pontual. Na prática, está preparando o sistema para a transição da Reforma Tributária, que se inicia em 2027 e se consolida até 2033.
A tendência não se limita ao Estado de São Paulo
Embora o foco imediato esteja em São Paulo, o movimento é nacional. Outros estados já observam que a manutenção da complexidade da MVA, dos ressarcimentos e de toda a sistemática da ST se torna cada vez menos compatível com o novo desenho da tributação sobre o consumo.
As listas sujeitas à ST tendem a encolher progressivamente
O caminho natural é que, ao longo dos próximos anos, as listas de produtos submetidos à Substituição Tributária sejam progressivamente reduzidas em todo o país, como reflexo direto da Reforma Tributária e da busca por um modelo mais uniforme de incidência.
A auditoria de parâmetros deve ser prioridade
As empresas devem verificar se os produtos alcançados pela Portaria SRE nº 09/2026 já foram corretamente atualizados em seus sistemas, evitando falhas na emissão fiscal e no tratamento tributário das operações.
A revisão contratual também se torna necessária
Preços que antes embutiam o ICMS-ST retido precisam ser revistos e, em muitos casos, renegociados. A carga tributária muda, e a precificação precisa refletir essa nova realidade para preservar margem e competitividade.
O planejamento de transição não pode ficar para 2033
A retirada de produtos da ST já funciona como um ensaio prático da lógica que será consolidada com o IBS e a CBS. Por isso, o planejamento da empresa deve começar agora, e não apenas ao final do período de transição.
A Reforma Tributária já está acontecendo
A Reforma Tributária deixou de ser um evento futuro e abstrato. Ela já está sendo implementada na prática, portaria por portaria, exclusão por exclusão, exigindo das empresas adaptação imediata, controle operacional e visão estratégica.
Iniciativas
Diretoria e CA da ACBrasil traçam diretrizes
No último dia 16, o Conselho de Administração se reuniu com a diretoria da ACBrasil para definir diretrizes. Em pauta, foram discutidos temas como a reestruturação da entidade; a criação de comitês e comissões; e a organização do Fórum de Governança. O encontro também tratou do planejamento estratégico da ACBrasil para os próximos meses e Lia Pullen Parente, presidente do CA da associação, informou algumas decisões fundamentais:
“A idéia é que nós, conselheiros e diretores, nos dividamos para ouvir nossa base de associados. Haverá um questionário padrão e, com base nesse material levantado, bem como com a ajuda de uma consulta de marketing, após a Páscoa, estão previstas quatro reuniões semanais. Nelas, será aplicado um framework chamado ‘Decisão’, que parte dos objetivos da associação, do público e até para um plano de ação e como realizar a comunicação”.
Mentoria
A ACBrasiljá está divulgando a 1ª Edição da Mentoria. Inicialmente, serão apenas 15 vagas disponíveis: “Trata-se de uma iniciativa pensada para ampliar nosso networking e apoiar pessoas em transição de carreira — especialmente conselheiros e C-levels.Estamos iniciando com poucos mentorados para garantir a consistência da mentoria”, explica Karina Pincelli Izzo, da Diretoria de Sucesso do Associado. O programa começa em abril e vai até agosto.
Associados ou não, os interessados em participar ou divulgar o programa podem se inscrever no link abaixo:
https://forms.gle/22ARStRMfnjgTRSdA
Almoço comemorativo: traga uma convidada!
A ACBrasil promove na próxima terça-feira, dia 31, um almoço para celebrar o mês da Mulher. O encontro, segundo Isa Degaspari, diretora de Eventos e Parcerias, também é “promover uma conversa aberta sobre como podemos ampliar o engajamento feminino” na associação. O almoço está marcado para o meio dia, no restaurante Madero Steak House (Shopping Vila Olímpia), em São Paulo.
“Este não é um evento só para mulheres”, explica Isa: “A proposta é justamente reunir associados e associadas para pensarmos juntos em caminhos práticos parauma ACBrasil mais diversa, participativa e representativa.E aqui vai um desafio especial: que tal cada um trazer uma mulher que não faz parte da ACB? Queremos ampliar a escuta, conhecer novas visões e entender o que realmente aproxima mais pessoas à associação”, observa.
Interessadas (e interessados!) podem garantir sua participação através do link abaixo:
https://docs.google.com/forms/d/e/1FAIpQLSdD_REc6dBGfcG5foP2Q0esDl30lc2wgxIp06q5Buxj2_fFfA/viewform
Dica de leitura
Empresa familiar: como fortalecer o empreendimento e otimizar o processo sucessório
O autor, com base em experiência profissional como consultor de empresas, apresenta um conjunto de conceitos e metodologias, bem como de precauções que devem ser consideradas nos processos de planejamento, organização, direção e controle das empresas familiares. Com a leitura deste livro constata-se que a administração da empresa familiar não é nem mais fácil e nem mais difícil do que os outros tipos de empresas. Entretanto, ela apresenta algumas características que podem representar pontos fortes ou pontos fracos da empresa…
Empresa familiar: como fortalecer o empreendimento e otimizar o processo sucessório. Editora Atlas, 2006.
Datas
28 de março: Dia Internacional da Proteção de Dados
Instituída em 2006 pelo Conselho da Europa, a data tem objetivo de conscientizar sobre a importância da privacidade, segurança da informação e o uso ético de dados pessoais. A data marca a assinatura da Convenção 108 em 1981, o primeiro tratado internacional sobre privacidade.
___________________________________
Ainda não se associou à ACBrasil?
Junte-se a nós através do QR Code
___________________________________
ACBrasil
Pela integridade na governança
A Associação de Conselheiros do Brasil (ACBrasil) tem por finalidade promover, fortalecer, congregar e representar profissionais que atuam como conselheiros em organizações públicas e privadas, com e sem fins lucrativos, tendo como meta implantar princípios e práticas de Governança Corporativa, em prol do desenvolvimento sustentável, considerando os negócios como catalisadores das mudanças necessárias e gerando impacto positivo sobre a sociedade.
