Em dezembro de 2025, o Banco Central do Brasil (BCB) e o Conselho Monetário Nacional publicaram um marco regulatório transformador no âmbito da segurança cibernética do sistema financeiro nacional: as Resoluções CMN nº 5.274/2025 que atualiza a Resolução CMN n° 4.893 de 26/2/202 (que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem), Resolução BCB n° 496 de 5/9/2025 (que regulamenta a Transferência Eletrônica Disponível TED), Resolução BCB n° 497 de 5/9/2025 (que regulamenta a Transferência Eletrônica Disponível TED). Essas normas reformulam de forma profunda o que se espera das instituições autorizadas a funcionar pelo Banco Central em termos de governança, controles de segurança e maturidade tecnológica.
Do Modelo Orientativo ao Regime Prescritivo e Auditável
O principal objetivo das alterações normativas é uniformizar e fortalecer a proteção das infraestruturas críticas de comunicação de dados, sistemas de pagamento e operações bancárias, em resposta ao crescente processo de digitalização do setor financeiro e ao aumento exponencial da utilização de serviços como o Pix e outros mecanismos de transações instantâneas.
Historicamente, a política de segurança cibernética para instituições financeiras brasileiras estava baseada em diretrizes gerais e melhores práticas, frequentemente sujeitas a interpretações e distintas implementações pelas diversas instituições. Com as resoluções recentemente publicadas, a segurança deixa de ser um conjunto de recomendações flexíveis para se tornar um conjunto de exigências obrigatórias, prescritivas e auditáveis.
A CMN 5.274/2025 reformula a Resolução CMN nº 4.893/2021, enquanto a BCB 538/2025 altera a Resolução BCB nº 85/2021, consolidando um novo padrão de controles mínimos que devem ser implementados por todas as instituições reguladas. Essas normas abrangem aspectos de governança, prevenção e resposta a incidentes, gestão de fornecedores, contratação de serviços em nuvem e rotinas operacionais críticas relacionadas à cibersegurança.
O regulador também estabeleceu um prazo limite de adequação até 1º de março de 2026, prazo este considerado curto levando em conta a complexidade técnica e organizacional envolvida na execução dos requisitos.
Requisitos Técnicos Mandatórios: O Novo Piso de Segurança
Alguns dos principais requisitos técnicos e operacionais agora mandatórios incluem:
- Autenticação multifatorial e mecanismos robustos de controle de acesso;
- Gestão de certificação digital e criptografia de canais e dados sensíveis;
- Rastreabilidade completa de eventos e geração de logs auditáveis;
- Monitoramento contínuo de vulnerabilidades e correção tempestiva;
- Contratos e controles sobre serviços de terceiros e ambientes em nuvem;
- Testes de intrusão (pentests) independentes e com resultados comprováveis.
Pentest como Pilar Regulatório Obrigatório
Um dos pontos mais substanciais trazidos pelas resoluções diz respeito à exigência formal de Testes de Intrusão (conhecidos como pentests) realizados por equipes independentes de segurança. Esses testes não são mais uma boa prática opcional de segurança tornaram-se um requisito regulatório obrigatório anual para todas as instituições financeiras e de pagamento.
Conforme relatado por empresas especializadas em cibersegurança, como a CLA Brasil, o pentest deve ser conduzido de forma ampla e técnica, cobrindo não apenas a infraestrutura de TI, mas também lógica de negócios crítica, APIs, sistemas de autenticação, ambientes de nuvem e até vetores humanos como engenharia social.
Segurança Mensurável: Evidências, Risco e Plano de Ação
O principal valor do pentest, dentro do novo arcabouço regulatório, está em demonstrar a efetividade dos controles de segurança de forma prática e técnica, e não apenas documental. Isso significa que os resultados devem trazer não só a identificação de vulnerabilidades, mas também:
- Uma avaliação clara dos riscos associados;
- Classificação de prioridades;
- Um plano de ação detalhado para mitigação;
- Evidências documentadas e retidas por, no mínimo, cinco anos, disponíveis para fiscalização do Banco Central.
Essa abordagem reflete a exigência do regulador de que a segurança seja mensurável, contínua e incorporada à estratégia de negócio, e não apenas uma etapa pontual ou um item de checklist anual.
Threat Intelligence como Capacidade Estratégica
Outro ponto importante é a conformidade regulatória no contexto das novas exigências exige que as instituições financeiras adotem uma abordagem estruturada e contínua de threat intelligence, integrando coleta, análise e compartilhamento de informações sobre ameaças cibernéticas relevantes ao seu ecossistema. No entanto, os desafios são significativos: além da escassez de profissionais especializados, há a complexidade de transformar dados brutos em inteligência acionável, correlacionar indicadores de comprometimento com o ambiente interno e garantir que as informações gerem respostas tempestivas e proporcionais ao risco. Outro ponto crítico é alinhar o threat intel à governança e à gestão de riscos, evitando que ele se torne apenas um repositório de alertas desconectado da estratégia corporativa. Assim, mais do que cumprir requisitos normativos, o desafio está em consolidar uma capacidade madura, integrada e orientada a decisões, capaz de antecipar ameaças e fortalecer a resiliência operacional.
Investimento em Segurança como Imperativo Estratégico
A atualização da política de cibersegurança traz desafios significativos para instituições de todos os tamanhos de grandes bancos a fintechs emergentes e o mercado financeiro como um todo. A necessidade de contar com equipes qualificadas, processos formais de avaliação de riscos e ciclos contínuos de monitoramento e correção pode demandar investimentos substanciais em segurança da informação e talento humano, dois requisitos complexos que a tomada de decisão não pode mais demorar.
Além disso, a publicação das resoluções ocorre em um contexto de crescentes ameaças cibernéticas no Brasil e no mundo, em que incidentes sofisticados de invasão e vazamentos de dados transformam a segurança digital em um risco sistêmico relevante para a estabilidade financeira.
Responsabilidade da Alta Administração e Governança Corporativa
Outro impacto importante está relacionado à responsabilidade e governança corporativa: a segurança passa a ser uma questão estratégica sujeita à supervisão direta da alta administração das instituições, e sua eficácia é mensurada por meio de evidências técnicas concretas.
Ainda existe uma lacuna a ser explorada com a necessidade de mais controles (inclusive operacionais e de governança), e entendo que caminho seja esse, trilhando uma maior maturidade das casas e aumento da segurança em todo ecossistema financeiro.
Segurança como Diferencial Competitivo e Sustentabilidade
A nova regulação do Banco Central do Brasil representa uma evolução significativa na política de segurança cibernética do sistema financeiro nacional, alinhando o país às melhores práticas internacionais e elevando o nível de maturidade exigido das instituições reguladas.
Ao transformar exigências históricas de “boas práticas” em requisitos formais e auditáveis, o regulador busca não apenas reduzir riscos de ataques e fraudes, mas também promover maior confiança e estabilidade no ambiente digital que permeia os sistemas de pagamento, dados e serviços financeiros.
Nesse contexto, a implementação de processos rigorosos de pentest de Threat intel e de uma cultura de segurança baseada em risco e evidências não é apenas uma exigência legal, mas um diferencial competitivo e um componente essencial para a sustentabilidade operacional e reputacional de instituições financeiras no Brasil.
Autor: Paulo Baldin
