O Gerenciamento de Risco de Terceiros (TPRM – Third-Party Risk Management) deixou de ser uma função administrativa de compliance para se tornar um tema estratégico que precisa ser planejado em nível de diretório. Uma análise de mercado feita pela Whistic indica que 77% de todas as transparências de segurança nos últimos três anos tiveram origem em um fornecedor ou terceiro, fazendo com que o TPRM ganhesse destaque na pauta de resiliência cibernética.
Leia também
TIVIT investe R$ 25 milhões em plataforma financeira
Ataques cibernéticos ameaçam o setor financeiro
O mercado global reflete essa urgência, com projeções apontando para uma taxa de crescimento anual entre 15% e 18,5%. Para as empresas que operam no Brasil, essa pressão é amplificada pelas obrigações regulatórias: a Lei Geral de Proteção de Dados (LGPD) e, no caso do segmento financeiro, as novas resoluções do Banco Central (BACEN).
“Os executivos estão percebendo que a superfície de ataque não termina no firewall da empresa; ela se estende por toda a cadeia de suprimentos”, avalia Paulo Miranda, Head da keeggo Cyber Security. “O TPRM deixou de ser um exercício de ‘check-the-box’ para o jurídico e se tornou a principal disciplina de resiliência do negócio, pois uma falha no terceiro é uma falha direta na operação.”
Enquanto a LGPD estabelece a responsabilidade legal direta das empresas sobre as práticas de dados de seus fornecedores, são as novas normas do BACEN, com entrada em vigor entre 2025 e 2026, que criam uma consequência financeira imediata. O foco do BACEN passa a ser os Provedores de Serviços de Tecnologia da Informação (PSTIs), exigindo critérios mais robustos de credenciamento que incluem capital social mínimo de R$ 15 milhões, certificações internacionais de segurança e contratação de seguro de responsabilidade civil para riscos cibernéticos.
A Resolução BCB nº 496 (Pix) e nº 497 (TED) funcionam como mecanismo de aplicação. Instituições que utilizam um PSTI não credenciado ou que não estejam em conformidade estarão sujeitas a um limite operacional de R$15.000,00 por transação.
“O BACEN efetivamente desenvolveu o business case, que justifica o aumento dos investimentos em TPRM”, afirma Miranda. “Ao estabelecer um gatilho financeiro tão direto e pesado, o regulador removeu qualquer dúvida sobre a importância do TPRM. A conformidade do fornecedor de tecnologia não é mais uma ‘boa prática’; é uma condição para operar no sistema de pagamentos. Ou a instituição gerencia seu terceiro em tempo real, ou seu negócio principal está paralisado.”
O ponto crítico dessa nova realidade é uma dificuldade operacional para atender às novas critérios. De acordo com o estudo da Whistic, as empresas gerenciam em média 286 fornecedores, sobrecarregando equipes de risco e compliance e tornando abordagens manuais baseadas em planilhas obsoletas e propensas a erros. Dados de 2025 revelam que o tamanho médio da equipe de TPRM é de 8,5 indivíduos, resultando em uma proporção insustentável de 33,6 fornecedores para cada profissional de risco.
“É operacionalmente impossível para uma equipe enxuta auditar e monitorar manualmente quase 300 fornecedores”, declara o Head da keeggo Cyber Security. “Essa proporção de 33 para 1 é um atestado de falha operacional. Sem automação e plataformas de monitoramento contínuo, as empresas estão, na prática, cegas para boa parte do seu risco real.”
Essa sobrecarga contribui para a criação de um caso de negócios que justifique o investimento em automação, impulsionando a adoção de plataformas tecnológicas e o abandono de questionários pontuais em favor do monitoramento contínuo.
Ainda que o mercado de plataformas tecnológicas de TPRM esteja maduro, o verdadeiro desafio para a implementação não é tecnológico, mas sim a cultura organizacional e a governança. Uma pesquisa do Gartner de 2024 revela que, embora 95% dos gestores de negócios identifiquem “bandeiras vermelhas” de risco em seus fornecedores, apenas cerca de 50% escalam essa informação vital para as equipes de compliance.
De forma muito semelhante, uma pesquisa da EY sobre acordos ESG que 66% dos desafios de integração devem à “falta de coordenação interna”. Isso demonstra que o maior risco não reside no terceiro, mas nos silos internos da própria empresa.
“Muitas organizações compram plataformas de TPRM esperando uma ‘bala de prata’, mas o maior risco não está no fornecedor; está nos silos internos”, conclui Paulo Miranda. “Se o jurídico, a área de compras e a unidade de negócio que contrata o SaaS não operarem sob uma governança unificada e centralizada, a plataforma mais cara do mundo será inútil. O investimento em tecnologia deve ser rigorosamente acompanhado por um investimento equivalente na quebra de silos, pois o desafio hoje não é técnico, é de governança.”
