Em janeiro de 2025, Filippo Valsorda — ex-engenheiro do time Go no Google, autor do age, uma das vozes mais respeitadas em criptografia aplicada — publicou um texto curto mudando publicamente de posição: a janela para migração pós-quântica não era mais 2035. Era 2029.
A mudança foi motivada por dois papers quase simultâneos. O primeiro, do Google, mostrou que as curvas elípticas de 256 bits (P-256, secp256k1) podem ser quebradas em minutos com muito menos qubits lógicos do que se estimava. O segundo, do grupo Oratomic, demonstrou um caminho alternativo: ~10.000 qubits físicos com átomos neutros, mais lento mas igualmente catastrófico.
As fronteiras quânticas podem estar mais próximas do que parecem. Heather Adkins & Sophie Schmieg, Google Security, Jan/2025
O que isso tem a ver com o Banco Central do Brasil? Tudo. Porque enquanto Filippo publicava o texto, o BACEN estava ocupado regulando outras coisas — Open Finance fase 4, Drex, Pix automático. Nenhuma delas é quântico-resistente. Nenhuma delas tem plano público de migração. E todas elas serão exigidas a mudar em breve, porque a matemática regulatória não deixa outra alternativa.
Este artigo analisa cinco razões pelas quais o BACEN vai publicar uma resolução exigindo criptografia pós-quântica antes de 2028 — mesmo que hoje não exista nem o primeiro comunicado técnico público. E mostra o que as instituições financeiras deveriam estar fazendo agora, antes do primeiro ofício chegar.
TL;DR: O BACEN segue o BIS com atraso médio de 18 a 24 meses. O BIS publicou relatório sobre PQC em 2024. A ECB já tem projeto piloto. O Federal Reserve criou força-tarefa. O Brasil tem Open Finance expondo dados sensíveis entre instituições em canais ECDH. Quando o primeiro comunicado do BACEN sair (provavelmente em 2026), as instituições que não tiverem inventário de chaves e plano de migração vão descobrir que "2028" é tempo curto demais para reescrever TLS terminator, assinatura digital e custódia.
1. Open Finance é a maior superfície de exposição criptográfica do país
Open Finance hoje movimenta diariamente dados cadastrais, histórico transacional, investimentos e informações de crédito entre bancos, fintechs, cooperativas e iniciadores de pagamento. Toda essa troca depende de TLS 1.3 com ECDHE para estabelecer sessão, e de assinaturas digitais (JWT ES256, certificados ICP-Brasil) para autenticar mensagens.
Vamos nos concentrar no ECDHE. Quando o banco A compartilha, com consentimento do cliente, o extrato dos últimos 12 meses com a fintech B, essa conexão usa curva P-256 para derivar uma chave de sessão efêmera. A sessão termina. Os dados trafegaram cifrados. Ótimo.
Só que existe um problema chamado Harvest Now, Decrypt Later (HNDL): um adversário — pode ser um ator estatal, pode ser crime organizado com acesso a infraestrutura — grava o handshake TLS + o ciphertext. Não consegue decifrar hoje. Mas armazena esperando o CRQC.
Quando o CRQC chegar, o algoritmo de Shor recupera a chave privada P-256 a partir da pública trocada no handshake. Recalcula o shared secret. Decifra o AES-GCM. E o extrato, o saldo, o histórico de cartão, o dado cadastral — tudo que passou naquela sessão — fica legível retroativamente.
Isso não é cenário hipotético acadêmico. É o caso central que o NIST usou para justificar a publicação apressada dos padrões FIPS 203 (ML-KEM) e FIPS 204 (ML-DSA) em agosto de 2024. É a justificativa do White House no National Security Memorandum 10. É o que está escrito, com todas as letras, no relatório do BIS Innovation Hub sobre criptografia pós-quântica.
O BACEN conhece o documento do BIS. O BACEN implementa as recomendações do BIS com atraso médio de 18 a 24 meses (Basel II, Basel III, LCR, NSFR — todos seguem esse padrão). Isso coloca a primeira resolução brasileira sobre PQC, no pior cenário, em 2026–2027.
2. Pix e DICT dependem de criptografia assimétrica de longo prazo
Enquanto Open Finance é o problema da troca entre instituições, Pix é o problema da identidade dentro do Sistema de Pagamentos Brasileiro. O DICT (Diretório de Identificadores de Contas Transacionais) guarda chaves Pix — CPF, email, telefone, aleatória — vinculadas a contas bancárias. Todo o fluxo de consulta e registro passa por canais TLS e assinaturas digitais.
Na arquitetura atual, as instituições participantes se autenticam no DICT usando certificados ICP-Brasil com ECDSA P-256 ou RSA-2048. As consultas por chave Pix são assinadas. Os comprovantes de transferência são assinados. E todas essas assinaturas precisam ser verificáveis anos depois, para efeito de auditoria, contestação judicial e compliance contra fraude.
Aqui mora um detalhe sutil mas crítico: assinaturas digitais têm dois riscos distintos sob CRQC.
- Risco passado: comprovantes antigos assinados com ECDSA não ficam mais facilmente verificáveis, porque a chave pública associada pode ter sido usada por um atacante via Shor para forjar assinaturas antedatadas. Isso destrói o valor probatório da assinatura.
- Risco futuro: novas transações assinadas após o CRQC precisam de algoritmo quântico-resistente desde o momento da emissão.
O segundo é obviamente resolvido migrando para ML-DSA-65. O primeiro exige uma estratégia mais complexa: re-assinatura massiva de comprovantes antigos, timestamp quântico-resistente, ou alguma combinação híbrida que preserve a cadeia de custódia probatória. Nenhuma das opções é trivial. Nenhuma é barata. Todas levam tempo.
O BACEN é gestor do arranjo Pix. A responsabilidade regulatória pela integridade do DICT é dele. A obrigação de auditoria cabe às instituições participantes, mas o padrão técnico é ditado pelo regulador. Quando ele começar a puxar esse fio — e ele vai — cada instituição vai ter 12 a 24 meses para se adequar.
3. LGPD + retenção de longo prazo transforma HNDL em responsabilidade civil
A LGPD não fala explicitamente de criptografia pós-quântica. Ela fala, no artigo 46, de "medidas técnicas de segurança aptas a proteger os dados pessoais de acessos não autorizados". Esse enquadramento é genérico por design — é assim que a lei consegue sobreviver à evolução tecnológica.
Mas genérico não é ausente. O raciocínio que a ANPD, o Ministério Público e eventuais ações coletivas vão fazer em 2029–2030 é previsível:
- Em 2024–2025, pesquisadores de Google e Oratomic publicaram que P-256 seria quebrável em 2029.
- Em 2025, figuras de destaque em criptografia (Valsorda, Aaronson) alertaram publicamente.
- Em 2024, o NIST publicou padrões pós-quânticos prontos para adoção.
- A instituição X continuou cifrando dados sensíveis com ECDH/RSA entre 2025 e 2028.
- Em 2029–2030, os dados foram efetivamente decifrados.
- Houve ou não houve omissão na adoção de "medidas técnicas aptas"?
Essa cadeia argumentativa é construída hoje, publicamente, em blogs, papers e comunicados oficiais. Ela é impossível de refutar em 2030. A única defesa para uma instituição financeira brasileira será: "nós iniciamos a migração em 2026 e temos evidência documentada".
O BACEN é o regulador prudencial dos bancos. A ANPD é a autoridade de proteção de dados. Quando esses dois alinharem o discurso — e eles já conversam via MoU assinado em 2024 — o enquadramento vai ser: risco operacional prudencial com componente LGPD. Ou seja: capital regulatório alocado contra exposição criptográfica não-migrada.
Se você é CTO ou CISO de uma instituição regulada, o custo de não ter um plano documentado de migração PQC em 2026 não é apenas risco técnico. É risco de provisão contábil obrigatória quando o regulador tipificar a exposição.
4. O Drex usa criptografia de elite — mas ainda clássica
O Drex, real digital do BACEN, usa um stack criptográfico sofisticado: Hyperledger Besu como base, Zero-Knowledge Proofs para preservar confidencialidade entre participantes, esquemas de transferência cega inspirados em Zether e Anonymous Zether. É tecnicamente impressionante. É o projeto mais ambicioso de CBDC do mundo em implementação real.
E é 100% baseado em criptografia de curvas elípticas clássica. Os ZKPs que garantem confidencialidade usam assumptions baseados em logaritmo discreto em curva BN254 ou BLS12-381. O consenso usa assinaturas ECDSA. As chaves dos participantes são secp256k1.
Isso é um problema específico e estrutural: os Zero-Knowledge Proofs usados hoje no Drex não são quântico-resistentes. Não existe "ZKP pós-quântico" drop-in — existem STARKs (hash-only, quantum-safe, mas muito maiores) e esquemas em lattice (ainda em pesquisa intensa). Migrar o Drex para um stack PQC end-to-end não é reescrever TLS; é repensar a arquitetura criptográfica do projeto inteiro.
O BACEN vai fazer essa transição. A pergunta não é se, é quando. E quando começar, vai arrastar com ela toda a cadeia de fornecedores tecnológicos do Sistema Financeiro Nacional. Porque um Drex PQC não funciona se os bancos participantes ainda usarem ECDSA para autenticar nós. Toda a custódia, toda a tesouraria, toda a infraestrutura vai ter que se movimentar junto.
Se você fornece tecnologia para qualquer instituição que participa do Drex — direta ou indiretamente — seu stack precisa estar pronto para PQC antes que o BACEN anuncie a transição. Porque quando anunciar, a janela de adequação não será de anos. Será de trimestres.
5. O precedente internacional: o BACEN não vai querer ser o último
Bancos centrais e reguladores financeiros ao redor do mundo já se movimentaram. Não é especulação:
| Autoridade | Ação documentada | Status |
|---|---|---|
| BIS Innovation Hub | Relatório "Post-quantum cryptography for central banks" | Publicado 2024 |
| ECB (Banco Central Europeu) | Projeto piloto com Bundesbank e Banque de France | Ativo 2024–2025 |
| Federal Reserve | Força-tarefa PQC + guidelines para bancos americanos | Em desenvolvimento |
| MAS (Singapura) | Advisory "Quantum-readiness for financial institutions" | Publicado 2024 |
| Bank of Canada | Paper técnico sobre migração PQC em liquidação | Publicado 2023 |
| PBoC (China) | Padrão nacional GM/T para curvas chinesas + estudos PQC | Avançado |
| BACEN (Brasil) | Nenhum documento público específico sobre PQC até 2026 Q2 | 🟡 Pendente |
Historicamente, o BACEN é reconhecido como um dos reguladores mais tecnicamente sofisticados do mundo emergente. Open Finance é referência global. Pix é citado em paper do BIS. Drex é o projeto de CBDC mais ambicioso depois do e-CNY. Esse capital reputacional não sobrevive a ser o último banco central do G20 a publicar diretrizes PQC.
Quando Basel IV começar a mencionar "risco quântico" em seus exercícios de stress test — e a menção já apareceu em consultas informais do BCBS em 2024 — o BACEN vai ter que responder. Não por pressão acadêmica, por pressão de pares.
Timeline realista: quando a resolução chega
Com base nos precedentes históricos do BACEN (Open Finance foi de consulta pública a resolução em 18 meses; LGPD financeira levou 12 meses; Drex levou 6 meses de fase conceitual para piloto), o caminho mais provável é:
| Período | Evento esperado |
|---|---|
| 2026 Q2–Q3 | Comunicado técnico do BACEN sobre "riscos emergentes em criptografia" — sem obrigatoriedade, apenas sinalização. |
| 2026 Q4 | Audiência pública ou consulta sobre inventário criptográfico em instituições financeiras. |
| 2027 Q1–Q2 | Resolução BCB com cronograma de inventário obrigatório e plano de migração submetido ao regulador. |
| 2027 Q3–Q4 | Primeiras exigências para novos certificados emitidos: suporte híbrido ML-KEM+ECDH. |
| 2028 | Obrigatoriedade de migração de canais críticos Open Finance e DICT. |
| 2029 | Prazo final para descontinuação de ECDH P-256 e ECDSA em novos serviços. CRQC entra na janela de possibilidade. |
Esse cronograma pode se antecipar em 6 a 12 meses se ocorrer qualquer incidente público — um vazamento criptográfico de grande escala, um anúncio de breakthrough quântico, ou uma resolução apressada de outro regulador do G20. Na direção oposta, pode atrasar, mas não além de 2028 sem virar risco reputacional para o Brasil no fórum internacional.
O que uma instituição deveria estar fazendo em abril de 2026
Existe um paradoxo confortável para não fazer nada: "não tem resolução, então não há prazo". Esse raciocínio sobrevive por 12 a 18 meses. Depois disso, a conversa muda — não por decisão do CTO, mas por demanda do diretor de compliance, do auditor externo, do conselho. E aí o problema fica tendo que ser resolvido em prazo apertado, com preço alto, sem tempo para escolha técnica criteriosa.
Uma instituição que queira chegar em 2027 preparada deveria estar fazendo, hoje, quatro coisas:
Inventário criptográfico
Mapear todos os lugares onde aparecem RSA, ECDSA, ECDH, DSA, Diffie-Hellman clássico: certificados TLS, chaves SSH de infraestrutura, JWT assinados, certificados ICP-Brasil, chaves de API, HSMs, acordos de custódia, módulos de pagamento externos. O inventário precisa ser automatizável, não um Excel atualizado ad hoc.
Scoring de exposição HNDL
Para cada sistema mapeado: qual a janela de valor do dado? Dados transacionais de 7 anos? Prontuários de 20 anos? Contratos que precisam ser válidos em 2040? A janela de valor determina o risco HNDL — dados cifrados hoje que precisam ser confidenciais depois de 2029 estão em exposição certa, não probabilística.
Plano de migração híbrido
Não se migra TLS do dia para a noite. A abordagem aceita internacionalmente é hybrid KEM: trocar chaves usando ML-KEM-768 E ECDH P-256 simultaneamente, combinando os shared secrets via KDF. Isso protege contra CRQC (o lado ML-KEM resiste) e contra eventuais bugs do ML-KEM novo (o lado ECDH ainda vale). Todos os grandes — Google, Cloudflare, Apple iMessage — já estão em produção com hybrid KEM. O Brasil precisa do mesmo caminho.
Governance de chaves e observabilidade
Chave criptográfica é infraestrutura. Infraestrutura precisa de observabilidade: quais chaves existem, onde estão armazenadas, quem tem acesso, quando foram rotacionadas, qual algoritmo, qual tamanho, qual validade. A maioria das instituições brasileiras não sabe. Essa é a primeira dívida a ser paga — antes mesmo de escolher algoritmo de migração.
Conclusão: 1000 dias não são muitos
A distância entre "não temos resolução ainda" e "precisamos estar 100% migrados" é exatamente o tempo que uma instituição financeira brasileira de porte levaria para mudar algo estrutural em seu stack criptográfico. Entre inventário, decisão técnica, piloto, rollout e auditoria, são 24 a 36 meses no melhor cenário.
Se o BACEN publicar a primeira resolução em 2027 — o cenário central deste artigo — a instituição que começar a se preparar em 2028 vai chegar em 2029 atrasada, e em 2030 exposta. A que começar em 2026 vai chegar em 2028 pronta para a exigência regulatória e com vantagem competitiva sobre concorrentes.
O Brasil tem aproximadamente 1000 dias até a janela CRQC 2029. A janela regulatória é ainda mais curta. Quem se mexer primeiro define o padrão. Quem esperar a resolução descobre que não há fornecedor disponível quando todos precisarem ao mesmo tempo.
A migração pós-quântica não é um problema de tecnologia. É um problema de calendário.
Na Stickybit construímos um stack completo de criptografia pós-quântica em Go — ML-KEM-768, ML-DSA-65, BGV/FHE para computação sobre dados cifrados, STARKs hash-only para provas de integridade. Está documentado, auditável, rodando em stickybit.com.br/fhe/quantum-stack.html. Se a sua instituição precisa começar a conversa — antes da resolução — é essa a porta de entrada.