Em São Francisco, o maior encontro de cibersegurança do ano consolidou uma virada de mentalidade: menos promessa, mais governança, execução e escala.
Entre 23 e 26 de março de 2026, o Stark Bank esteve na RSA Conference 2026 (RSAC), no Moscone Center, em São Francisco, para acompanhar de perto as tendências que estão redefinindo como empresas protegem dados, identidades e operações críticas.
Os números ajudam a dimensionar o peso do evento. No release oficial de encerramento, a RSAC reportou 43.500+ participantes, 700+ palestrantes, 570+ sessões e 600+ expositores. Um comunicado institucional da própria RSAC também descreveu a edição como um encontro esperado para mais de 40 mil profissionais e 650+ empresas expositoras, reforçando a escala do ecossistema reunido em uma única semana.
O tema do ano, “Power of Community”, trouxe um recado que apareceu em praticamente todas as conversas: tecnologia não resolve sozinha. Segurança em 2026 é uma equação de ferramentas, processos, pessoas e colaboração entre times e organizações.
A partir daqui, a RSAC 2026 consolidou seis movimentos que importam para qualquer empresa que opera em escala.
1) IA agêntica: do assistente ao operador
Se 2025 foi o ano do “vamos experimentar IA”, 2026 foi o ano do “como isso funciona sob governança”. A RSAC apontou a maturação de IA agêntica como tendência central, com sistemas capazes de executar etapas de investigação e resposta a incidentes com mais autonomia.
O ganho é óbvio: reduzir o tempo entre detectar e agir. O risco também é: ao ampliar autonomia, cresce a necessidade de definir limites de acesso, trilha de auditoria e controle do que um agente pode ou não executar. O foco deixa de ser “ter IA” e passa a ser “operar IA com rigor”.
2) A explosão das identidades não humanas
Outro tema recorrente foi a mudança do perímetro. Em ambientes modernos, o número de identidades não humanas cresce com APIs, microsserviços, bots e integrações. O resultado é que um modelo de gestão de acesso pensado apenas para “usuários” não acompanha a realidade.
A discussão na RSAC reforçou a necessidade de práticas como credenciais de curta duração, governança de segredos e ownership claro para identidades de máquina. É o tipo de mudança silenciosa que define segurança operacional: se você não controla identidade, você não controla o sistema.
3) Passwordless: passkeys como padrão antifraude
Passwordless deixou de ser “tendência bonita” e virou padrão prático para reduzir phishing e roubo de credenciais. Passkeys, promovidas pela FIDO Alliance, são desenhadas para serem resistentes a phishing, substituindo senhas por credenciais criptográficas vinculadas ao dispositivo e ao serviço.
Para empresas, isso significa menos dependência de campanhas intermináveis de conscientização e mais redução estrutural de risco.
LEIA MAIS
Segurança no Pix: como o Banco Central e a criptografia protegem você
4) Zero Trust, agora no modo real
Zero Trust apareceu menos como slogan e mais como execução. O NIST define Zero Trust como uma arquitetura que abandona a confiança implícita e exige verificação contínua baseada em identidade, contexto e políticas.
O alerta que ganhou força é a “ilusão de conclusão”: implementar só o básico de perímetro não é Zero Trust. O que conta é monitoramento contínuo, microsegmentação, política por contexto e capacidade de responder quando algo desvia do padrão.
5) Cadeia de suprimentos e soberania digital: SBOM como requisito
Depois de anos de incidentes envolvendo dependências e fornecedores, transparência na cadeia de software virou requisito. SBOM (Software Bill of Materials) foi tratado como “rótulo de ingredientes”: a capacidade de saber rapidamente o que compõe cada sistema e reagir quando um componente de terceiro vira vulnerabilidade.
NIST e CISA posicionam SBOM como base para melhorar visibilidade e gestão de risco na cadeia de software, acelerando resposta e reduzindo surpresa.
6) Novas ameaças: tokens e deepfakes
Dois vetores ganharam destaque por estarem mais próximos do “mundo real” corporativo.
O primeiro é o roubo de sessão: atacantes mirando tokens e artefatos de sessão, não apenas senhas, para contornar etapas tradicionais de autenticação.
O segundo é deepfake aplicado a fraude: o FBI já alertou para o uso de IA para criar conteúdos falsos convincentes e viabilizar golpes, inclusive com áudio e vídeo. A implicação prática é direta: segurança precisa proteger identidade e também o fluxo de autorização, do login à sessão.
“Participar da RSAC é estar onde o padrão global de segurança está sendo definido. Para o Stark Bank, estar presente não é sobre tendência, é sobre responsabilidade: acompanhar de perto as evoluções em IA, identidade e cadeia de suprimentos para transformar complexidade técnica em confiança operacional para nossos clientes.”
Ricardo Almeida, diretor de Cibersegurança do Stark Bank
O que a RSAC 2026 muda para empresas
- IA sai do laboratório e entra na operação: agentes e automação precisam de limites, auditoria e governança desde o design.
- Identidade vira o perímetro: humanos e máquinas exigem políticas e credenciais seguras em escala.
- Supply chain vira disciplina obrigatória: SBOM e auditoria de dependências reduzem risco de terceiros e aceleram resposta.
Conclusão
O recado mais forte da RSAC 2026 é que cibersegurança virou uma disciplina de execução. Não basta detectar. É preciso responder com velocidade e consistência, sem aumentar a superfície de risco. Transformar complexidade técnica em confiança operacional. É tirar o peso do improviso, reduzir o espaço do erro e manter a operação rodando com clareza, mesmo quando o cenário vira.
