A KPMG Banking Technology Survey 2026 mapeia prioridades de 200 executivos bancários nos Estados Unidos. A leitura é reveladora, e para quem acompanha o mercado financeiro brasileiro, ela funciona como espelho e como alerta
Por Susana Taboas
Durante essa semana tive a oportunidade de ler o riquíssimo relatório KPMG Banking Technology Survey 2026, produzido pela KPMG LLP em colaboração com a Forbes Insights e publicado em maio de 2026.
A pesquisa ouviu 200 executivos bancários norte-americanos, de diretores a membros do C-suite, em instituições que vão de um bilhão a mais de 500 bilhões de dólares em ativos. O resultado é um retrato denso das prioridades tecnológicas do setor financeiro global: cibersegurança quase unânime como investimento prioritário, inteligência artificial em aceleração visível entre um ano e o outro, dados como infraestrutura crítica ainda inacabada, e pagamentos instantâneos como novo campo de batalha. Li com atenção e não consegui parar de pensar no Brasil.
O Brasil que o mundo já reconhece
Não é de hoje que o mercado financeiro brasileiro é observado com admiração lá fora. Temos um dos sistemas de pagamentos instantâneos mais avançados do planeta, com o Pix consolidado como referência para outros países. O Open Finance avança em ritmo próprio, construindo uma arquitetura de dados e consentimento que poucos mercados conseguiram estruturar com a mesma capilaridade. O Drex caminha como proposta de moeda digital de banco central com ambição de transformar a infraestrutura de liquidação de atacado. E a resiliência operacional das nossas instituições financeiras, testada repetidamente em cenários de alta complexidade, é hoje citada em fóruns internacionais como modelo de capacidade de resposta.
Conquistamos também um reconhecimento que vai além da inovação em produtos. O setor financeiro brasileiro aprendeu, na prática e muitas vezes da forma mais dura, a operar sob pressão de ataques cibernéticos de grande escala.
A sofisticação das nossas equipes de segurança, a maturidade dos planos de continuidade de negócios e a velocidade de resposta a incidentes são hoje ativos reconhecidos internacionalmente. Isso não é pouca coisa. É o resultado de anos de investimento, regulação exigente e, em muitos casos, de crises que nos obrigaram a evoluir depressa.
Mas há uma lacuna que não podemos ignorar. E, o que o relatório nos diz, e o que ele nos lembra é:
No KPMG Banking Technology Survey 2026, a cibersegurança aparece como prioridade de investimento para os próximos 12 meses em 89% das respostas. O número quase unânime não surpreende quem acompanha o setor. O que chama atenção é o contexto em que esse investimento se dá: os bancos reconhecem que a inteligência artificial está amplificando as ameaças ao mesmo tempo em que está sendo usada para combatê-las. Noventa por cento dos respondentes já estão utilizando ou testando IA generativa em detecção de fraudes e segurança. A ameaça e a defesa caminham juntas, alimentadas pela mesma tecnologia.
O relatório também revela que 69% dos executivos de grandes bancos apontam a concentração em provedores de nuvem como seu maior risco em termos de tecnologia da informação, segurança e resiliência. Em segundo lugar vem a concentração em fornecedores, citada por 53%. E aqui chegamos ao ponto que não podemos deixar de nomear.
Terceiros. Mensageria. Fornecedores. Integrações.
No Crypto ID e na coluna que mantemos no Mercado Financeiro, temos material extenso, rigoroso e com profundidade técnica sobre os riscos de terceiros no ecossistema financeiro.
Já debatemos amplamente como a superfície de ataque se expande a cada nova integração, a cada API aberta, a cada prestador de serviço conectado ao núcleo das operações bancárias. Não voltarei ao tema pelo ângulo já percorrido, mas o relatório da KPMG me convida a olhar para uma dimensão desse risco que está se tornando urgente e que ainda não está suficientemente no centro da nossa conversa: os agentes de inteligência artificial.
O novo participante que ninguém credenciou
O relatório da KPMG registra que 67% dos bancos respondentes já estão priorizando agentes ou fluxos de trabalho agênticos como canal digital de investimento em 2026.
Agentes de IA, aqui, não são apenas assistentes conversacionais. São sistemas autônomos capazes de executar tarefas complexas em sequência, tomar decisões dentro de parâmetros definidos, acionar outros sistemas, consultar bases de dados, iniciar transações e interagir com terceiros, tudo isso sem intervenção humana a cada passo.
Em um ambiente bancário, esse perfil de atuação levanta uma questão que vai além da eficiência operacional: quem é esse agente? O que ele pode fazer? Em nome de quem ele age? E quem, em caso de incidente, responde pelo que ele fez?
São perguntas de identidade. E identidade, no setor financeiro, não é um tema secundário.
A arquitetura de identidade digital que construímos nos últimos anos foi pensada para pessoas e, progressivamente, para empresas. A ICP-Brasil, a cadeia de certificação digital, os protocolos de autenticação forte, os mecanismos de consentimento do Open Finance, tudo isso parte do pressuposto de que há um titular identificável por trás de cada credencial. Uma pessoa física com CPF, uma pessoa jurídica com CNPJ, um representante legal com poderes verificáveis.
O agente de IA não se encaixa nessa estrutura sem adaptação. Ele não tem CPF. Não tem CNPJ. Não tem identidade legal autônoma. Mas age. Acessa. Decide. Executa.
E, essa ausência de identidade formal em um ambiente de alta sensibilidade regulatória e financeira é, precisamente, o tipo de lacuna que os atacantes exploram antes que os defensores organizem a resposta.
Credenciais Verificáveis para agentes: a resposta que já existe, e que precisamos implementar
O campo das Credenciais Verificáveis, as CVs dentro do padrão W3C, oferece um caminho técnico concreto para resolução desse problema.
Uma CV é uma declaração digital assinada criptograficamente por um emissor confiável, que atesta atributos de um titular e pode ser apresentada e verificada por qualquer parte sem necessidade de consulta centralizada ao emissor.
Quando aplicamos esse modelo a agentes de IA, estamos falando de atribuir a cada agente um conjunto de credenciais que respondem a perguntas fundamentais.
O que esse agente é: sua natureza técnica, o modelo subjacente, a versão, o fabricante, a organização que o implantou. O que ele pode fazer: os escopos de atuação autorizados, os sistemas que pode acessar, as operações que pode executar, os limites que não pode ultrapassar. Quem o identificou e certificou sua conformidade: o emissor da credencial, que pode ser a própria instituição financeira, um terceiro de confiança ou uma autoridade regulatória. E, fundamentalmente, a quem ele deve responder: o principal.
Esse último atributo tem um nome técnico preciso. Na literatura de identidade digital e governança de sistemas autônomos, a relação entre o agente e o ser humano que autoriza e responde por suas ações é chamada de relação entre principal-agente, do inglês principal-agent relationship.
O humano nessa relação é o principal, e o vínculo entre eles, quando expresso em uma Credencial Verificável, recebe o nome de Verifiable Mandate, ou Mandato Verificável. É esse mandato que define o que o agente pode fazer, em nome de quem, por quanto tempo e com quais restrições. É o equivalente digital de uma procuração com escopo técnico, auditável e revogável.
Sem esse mecanismo, um agente de IA operando em um ambiente financeiro é, do ponto de vista da identidade, equivalente a um prestador de serviços sem crachá, sem contrato registrado e sem supervisor identificado, com acesso às dependências da instituição e autonomia para tomar decisões. Não é aceitável para o humano. Não pode ser aceitável para um agente autônomo com poder de acionar transações financeiras.
O que o relatório não diz, e que precisamos reforçar
O KPMG Banking Technology Survey 2026 é um documento rico sobre os desafios em dados. Mas ele mapeia o estado atual das prioridades, não os riscos emergentes que ainda não chegaram ao topo das listas.
A identidade de agentes de IA ainda não aparece como categoria destacada nas respostas dos executivos. Ela está submersa nas preocupações sobre governança de IA, citada por 33% como desafio de implantação, e na preocupação com integração de sistemas, apontada por 65%. Mas não está ainda como um problema de identidade nomeado.
No Brasil, temos a oportunidade de chegar antes. Temos uma infraestrutura de identidade digital robusta na ICP-Brasil, temos reguladores atentos como o Banco Central e a ANPD, temos um ecossistema fintech maduro e acostumado a operar dentro de frameworks regulatórios exigentes. Temos, inclusive, experiência acumulada em smart metering, medição inteligente em português, e IoT que já nos levou a discutir credenciais verificáveis para dispositivos, e os aprendizados desse caminho se aplicam diretamente ao caso dos agentes.
O que nos falta é nomear o problema com a precisão que ele merece, e começar a construir os frameworks de identidade agêntica antes que o incidente nos obrigue a apagar incêndios.
Os principais insights do relatório
CIBERSEGURANÇA
89% elegem segurança e prevenção a fraudes como prioridade de investimento nos próximos 12 meses
92% estão aumentando o orçamento dedicado ao tema
76% registraram aumento no número de ataques cibernéticos no último ano
90% já utilizam ou testam IA generativa em segurança e detecção de fraudes
INTELIGÊNCIA ARTIFICIAL
73% consideram GenAI prioridade de investimento em 2026, contra 61% em 2025
69% afirmam que GenAI é parte integral de sua visão de inovação de longo prazo, contra 57% em 2025
DADOS
100% apontam qualidade de dados como principal obstáculo à modernização
85% citam complexidade de sistemas legados e integrações
72% incluem privacidade de dados e gestão de riscos como barreiras relevantes
PAGAMENTOS
72% planejam modernizar plataformas de pagamentos instantâneos via FedNow
70% via RTP
82% apontam redução de custos e eficiência operacional como principal driver da modernização
TRANSFORMAÇÃO EMPRESARIAL
100% investem em mobile banking e online banking
67% priorizam agentes e fluxos de trabalho agênticos
61% priorizam APIs de open banking
FUSÕES E AQUISIÇÕES
33% afirmam que tecnologia conduz diretamente sua estratégia de aquisições
44% dizem que tecnologia é um dos principais fatores nas decisões de M&A
67% buscam aquisição de dados, analytics ou IA
65% buscam fortalecimento de cibersegurança e gestão de riscos
RISCO DE CONCENTRAÇÃO
69% apontam dependência de provedores de nuvem como maior risco
53% citam concentração em fornecedores
44% citam concentração no próprio stack tecnológico
Este relatório é riquíssimo e oferece, além dos números, análises assinadas por líderes setoriais da consultoria em cada um dos temas cobertos. Para quem toma decisões em tecnologia, segurança, dados ou pagamentos no setor financeiro, é um benchmarking denso e bem construído.
E para quem acompanha o Brasil com o olhar de quem conhece nossa trajetória, é também um convite a perguntar em que pontos já estamos à frente, em quais ainda precisamos avançar, e em quais, como na identidade de agentes de IA, temos a rara oportunidade de liderar antes que o problema nos alcance.
Fonte: KPMG Banking Technology Survey 2026, KPMG LLP em colaboração com Forbes Insights, maio de 2026. Base: 200 executivos bancários norte-americanos.
O relatório vale a leitura completa. Está disponível no site da KPMG : KPMG Banking Technology Survey 2026, KPMG LLP
Glossário
VC (Verifiable Credential): Credencial Verificável, declaração digital assinada criptograficamente que atesta atributos de um titular, conforme padrão W3C.
ICP-Brasil: Infraestrutura de Chaves Públicas Brasileira, cadeia de certificação digital oficial do país, sob gestão do ITI.
Agente de IA: Sistema de inteligência artificial autônomo capaz de executar tarefas complexas e tomar decisões sem intervenção humana a cada etapa.
Principal-agent relationship: Relação principal-agente, vínculo formal entre um sistema autônomo e o humano que o autoriza e responde por suas ações.
Verifiable Mandate: Mandato verificável, Credencial Verificável que formaliza os escopos, limites e vínculos de autorização de um agente de IA.
W3C: World Wide Web Consortium, organização internacional responsável pelos padrões técnicos da web, incluindo o modelo de Credenciais Verificáveis.
Open Finance: Ecossistema regulado de compartilhamento de dados financeiros mediante consentimento do titular, no Brasil operado sob normas do Banco Central.
GenAI: Inteligência artificial generativa, categoria de IA capaz de criar conteúdo, tomar decisões e executar tarefas a partir de modelos de linguagem de grande escala.
Credenciais verificáveis no Brasil: Workshop explica por que a confiança digital começa na fonte da verdade
Por que precisamos expandir o debate sobre credenciais verificáveis
Sobre Susana Taboas
Susana Taboas | COO – Chief Operating Officer – CryptoID. Economista com MBA em Finanças pelo IBMEC-RJ e diversos cursos de extensão na FGV, INSEAD e Harvard University. Durante mais 25 anos atuou em posições no C-Level de empresas nacionais e internacionais acumulando ampla experiência na definição e implementação de projetos de médio e longo prazo nas áreas de Planejamento Estratégico, Structured Finance, Governança Corporativa e RH. Atualmente é Sócia fundadora do Portal Crypto ID e da Insania Publicidade.
Leia outros artigos escritos por Susana.
Acesse o Linkedin da Susana!
Conheça nossa coluna sobre o Mercado Financeiro, leia outros artigos e acompanhe os principais eventos do setor.
Aqui no Crypto ID você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!
