Linkedin Facebook-f Instagram Youtube

Novas regras de cibersegurança para o setor financeiro: o que o Banco Central exigirá em 2026

regras-de-ciberseguranca-para-o-setor-financeiro
Fonte: Shutterstock

Sumário

A regulação de cibersegurança no sistema financeiro brasileiro entrou em uma nova fase. Com a publicação das Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, o Banco Central do Brasil e o Conselho Monetário Nacional atualizaram o conjunto de exigências aplicáveis a bancos, cooperativas de crédito, instituições de pagamento e fintechs autorizadas a funcionar.

As novas normas entraram em vigor em março de 2026 e consolidam uma mudança relevante: a transição de uma abordagem baseada predominantemente em políticas formais para um modelo orientado a evidências técnicas, rastreabilidade e efetividade operacional.

Para o decisor — seja no board, na diretoria executiva, no compliance ou na área de tecnologia — a pergunta não é mais se a instituição possui uma política de segurança cibernética. A pergunta é: é possível demonstrar, de forma técnica e documentada, que os controles funcionam?

O contexto regulatório: evolução e modernização das exigências

A cibersegurança já vinha sendo tratada pelo regulador por meio de normas como a Resolução CMN nº 4.893 e a Resolução BCB nº 85, que estabeleceram requisitos mínimos de política de segurança cibernética e de contratação de serviços de processamento e armazenamento de dados.

Com as novas Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, o regulador:

  • Atualiza e detalha controles técnicos mínimos;
  • Reforça a responsabilidade sobre terceiros e serviços relevantes;
  • Exige maior formalização da gestão de vulnerabilidades e testes de segurança;
  • Amplia a necessidade de documentação e guarda de registros;
  • Incentiva o compartilhamento estruturado de informações sobre incidentes.

O objetivo declarado do regulador é fortalecer a resiliência operacional e a proteção de dados e sistemas críticos do Sistema Financeiro Nacional (SFN) diante de ameaças cada vez mais sofisticadas.

O que realmente muda com as novas regras

As novas normas trazem três mudanças estruturais para a gestão de cibersegurança nas instituições reguladas.

1. Elevação do nível técnico mínimo obrigatório

Os controles deixam de ser descritos de forma genérica e passam a exigir implementação técnica mensurável. O regulador especifica, entre outros pontos:

  • Testes de intrusão periódicos;
  • Gestão estruturada de vulnerabilidades;
  • Mecanismos de autenticação forte;
  • Uso de criptografia para proteção de dados;
  • Procedimentos formais de continuidade e recuperação.

2. Exigência de evidências auditáveis

O foco deixa de ser apenas a existência de políticas e passa a incluir a comprovação de execução, acompanhamento e correção de falhas.

Em eventual inspeção, o Banco Central do Brasil poderá solicitar relatórios técnicos, registros de execução de testes, evidências de correção de vulnerabilidades e documentação de incidentes.

3. Responsabilização ampliada da cadeia de terceiros

As normas deixam claro que a responsabilidade pela segurança não se restringe à infraestrutura própria da instituição. Sistemas de fornecedores, inclusive quando executados na infraestrutura da instituição contratante, devem observar os mesmos padrões de segurança.

Controles técnicos obrigatórios: o novo baseline regulatório

Testes de intrusão (Pentests) com periodicidade mínima anual

As novas resoluções determinam a realização de testes de intrusão ao menos uma vez por ano, conduzidos com independência e imparcialidade. 

A norma admite que o teste seja realizado por equipe interna ou contratada, desde que a independência técnica esteja assegurada. No entanto, a exigência de imparcialidade reforça a necessidade de governança clara para evitar conflitos de interesse.

Para fins regulatórios, não basta a execução do teste. É necessário:

  • Definir escopo formal;
  • Utilizar metodologia reconhecida;
  • Classificar criticidade das vulnerabilidades;
  • Documentar plano de ação;
  • Registrar evidências de correção.

Pentest para o setor financeiro: o que muda com a exigência do Banco Central e como sua instituição deve se preparar

Gestão estruturada de vulnerabilidades

A norma exige varreduras periódicas para identificação de falhas, bem como plano formal de tratamento.

Isso implica:

  • Identificação contínua de vulnerabilidades;
  • Classificação por criticidade;
  • Priorização de correção;
  • Registro de prazos e responsáveis;
  • Evidência de mitigação.

A gestão de vulnerabilidades passa a ser elemento central da maturidade regulatória.

Controles de acesso e autenticação forte

As resoluções reforçam a necessidade de mecanismos robustos de autenticação e rastreabilidade.

Entre os elementos esperados:

  • Autenticação forte para acesso a sistemas críticos;
  • Segregação de funções;
  • Registro e monitoramento de acessos;
  • Trilhas de auditoria preservadas.

A rastreabilidade torna-se componente essencial para investigação de incidentes e inspeções regulatórias.

Criptografia e proteção contra vazamento de dados

As normas exigem uso de mecanismos de criptografia para proteção de dados sensíveis, tanto em repouso quanto em trânsito, além de controles que previnem vazamentos de informações e softwares maliciosos.

O objetivo é garantir confidencialidade, integridade e disponibilidade das informações, alinhando-se aos princípios já consolidados na regulação prudencial.

Continuidade de negócios e recuperação de dados

As instituições devem manter:

  • Cópias de segurança adequadas;
  • Procedimentos formais de recuperação;
  • Testes periódicos de restauração;
  • Planos documentados de continuidade.

A exigência vai além do backup. É necessário demonstrar que o processo foi testado e funciona.

Governança ampliada e responsabilidade sobre terceiros

Sistemas de terceiros executados na infraestrutura da instituição

As novas regras explicitam que sistemas de fornecedores que operem na infraestrutura da própria instituição também devem cumprir os controles mínimos de segurança.

Isso reforça a necessidade de:

  • Due diligence técnica;
  • Cláusulas contratuais específicas de segurança;
  • Monitoramento contínuo de conformidade.

Serviços de comunicação de dados na RSFN

Serviços de comunicação eletrônica de dados na Rede do Sistema Financeiro Nacional (RSFN) passam a ser considerados serviços relevantes, sujeitos a exigências semelhantes às aplicáveis à contratação de serviços de nuvem.

Isso amplia o escopo de governança contratual e técnica.

Compartilhamento de informações sobre incidentes

As normas incentivam o desenvolvimento de iniciativas para compartilhamento de informações sobre incidentes relevantes entre instituições e com o regulador.

A lógica é fortalecer a inteligência coletiva do sistema financeiro, reduzindo o impacto sistêmico de ataques.

O foco mudou: da política para a prova

Um dos aspectos mais relevantes das novas resoluções é a ênfase na comprovação prática.

Em uma inspeção, o Banco Central do Brasil poderá solicitar, por exemplo:

  • Relatórios completos de testes de intrusão;
  • Registros de varreduras periódicas;
  • Evidências de correção de vulnerabilidades críticas;
  • Logs de autenticação forte;
  • Relatórios de testes de backup e recuperação;
  • Documentação de incidentes relevantes;
  • Registros mantidos por pelo menos cinco anos.

A capacidade de apresentar evidências organizadas e tecnicamente consistentes passa a ser diferencial competitivo e fator de mitigação de risco regulatório.

Impactos estratégicos para bancos e fintechs

Para instituições financeiras e de pagamento, os impactos vão além da área de tecnologia.

Para o board

  • Aumento da responsabilidade fiduciária sobre risco cibernético;
  • Necessidade de supervisão ativa da maturidade digital;
  • Avaliação de orçamento e priorização de investimentos.

Para compliance e jurídico

  • Revisão de contratos com fornecedores;
  • Atualização de políticas internas;
  • Estruturação de governança documental.

Para TI e segurança

  • Formalização de processos;
  • Estruturação de ciclos de testes;
  • Integração entre monitoramento, resposta e correção.

A cibersegurança deixa de ser apenas tema técnico e passa a integrar a agenda estratégica institucional.

Riscos de não conformidade

Embora as resoluções não tenham caráter penal automático, o descumprimento pode resultar em:

  • Determinações de adequação imediata;
  • Procedimentos administrativos;
  • Restrições operacionais;
  • Impacto reputacional;
  • Maior escrutínio regulatório.

Em um setor baseado em confiança, o risco reputacional associado a falhas de segurança pode ser tão relevante quanto eventuais sanções formais.

Perguntas que a alta administração deve fazer agora

Diante da entrada em vigor em março de 2026, algumas perguntas estratégicas são inevitáveis:

  • Temos testes de intrusão independentes realizados nos últimos 12 meses?
  • Conseguimos comprovar a correção de vulnerabilidades críticas?
  • Nossos fornecedores críticos seguem padrões equivalentes de segurança?
  • Já testamos nossos procedimentos de recuperação de dados?
  • Estamos preparados para apresentar evidências técnicas em uma inspeção?

A antecipação dessas respostas pode reduzir significativamente o risco regulatório.

Conformidade como pilar de resiliência

As Resoluções CMN nº 5.274/2025 e BCB nº 538/2025 representam mais do que atualização normativa. Elas consolidam um novo padrão de governança digital no setor financeiro brasileiro.

A partir de março de 2026, não será suficiente afirmar que a instituição possui controles de segurança. Será necessário demonstrar, de forma técnica e documentada, que:

  • Os testes são realizados;
  • As falhas são tratadas;
  • Os acessos são controlados;
  • Os dados estão protegidos;
  • A continuidade operacional está assegurada.

Para bancos e fintechs, a adequação às novas regras deve ser encarada como parte da estratégia de sustentabilidade institucional, proteção reputacional e solidez operacional.

A maturidade em cibersegurança deixou de ser diferencial competitivo. Tornou-se requisito regulatório.

Fale com um especialista da Prolinx e avalie o nível de aderência da sua instituição às novas regras de 2026.

FAQ – Novas regras de cibersegurança para o setor financeiro (CMN 5.274/2025 e BCB 538/2025)

1. Quais são as novas regras de cibersegurança do Banco Central que entram em vigor em 2026?

As novas regras são estabelecidas pelas Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, publicadas pelo Conselho Monetário Nacional e pelo Banco Central do Brasil. Elas atualizam as exigências de segurança cibernética aplicáveis a bancos, cooperativas de crédito, instituições de pagamento e fintechs autorizadas, com entrada em vigor em março de 2026. As normas reforçam controles técnicos, testes periódicos e exigência de evidências auditáveis.

2. O pentest passou a ser obrigatório para instituições financeiras?

Sim. As novas resoluções exigem a realização de testes de intrusão com periodicidade mínima anual. O objetivo é identificar vulnerabilidades técnicas de forma preventiva. O teste deve ser conduzido com independência e imparcialidade, e seus resultados devem ser documentados, incluindo plano de ação para correção das falhas encontradas.

3. O time interno pode realizar o teste de intrusão?

Pode, desde que haja independência técnica e ausência de conflito de interesse. A instituição deve comprovar que a equipe responsável pelo teste não está auditando controles que ela própria implementou sem mecanismos de segregação adequados. Em muitos casos, a contratação de empresa especializada externa é recomendada para reforçar a imparcialidade.

4. O que o Banco Central pode exigir em uma inspeção de cibersegurança?

Em uma inspeção, o Banco Central pode solicitar:

  • Relatórios completos de testes de intrusão;
  • Evidências de gestão e correção de vulnerabilidades;
  • Registros de autenticação forte e controle de acesso;
  • Logs e trilhas de auditoria;
  • Evidência de testes de backup e recuperação;
  • Documentação de incidentes relevantes;
  • Registros mantidos por no mínimo cinco anos.

O foco é comprovar que os controles não são apenas formais, mas operacionais.

5. As regras se aplicam também a fintechs e instituições de pagamento?

Sim. As resoluções se aplicam a todas as instituições autorizadas a funcionar pelo Banco Central do Brasil, incluindo bancos tradicionais, cooperativas de crédito e instituições de pagamento. O escopo regulatório não se limita às grandes instituições.

6. O que muda na gestão de vulnerabilidades com as novas regras?

As normas exigem gestão estruturada e contínua de vulnerabilidades, com:

  • Varreduras periódicas;
  • Classificação por criticidade;
  • Plano formal de correção;
  • Registro de tratamento;
  • Evidências documentadas de mitigação.

A simples realização de scan automatizado não é suficiente. É necessário demonstrar a governança do processo.

7. As novas regras exigem autenticação forte?

Sim. As resoluções reforçam a obrigatoriedade de mecanismos robustos de autenticação, especialmente para acesso a sistemas críticos. Além disso, exigem rastreabilidade e registro dos acessos, permitindo auditoria e investigação de incidentes.

8. Fornecedores e serviços em nuvem também precisam cumprir as exigências?

Sim. A instituição é responsável pela segurança de sua cadeia tecnológica. Sistemas de terceiros executados em sua infraestrutura devem seguir os mesmos padrões de segurança. Serviços relevantes, incluindo comunicação de dados na RSFN e serviços em nuvem, estão sujeitos a requisitos regulatórios específicos e devem ser contratados com cláusulas de segurança adequadas.

9. A norma exige criptografia de dados?

Sim. As resoluções determinam a adoção de mecanismos de criptografia para proteger dados sensíveis, tanto em repouso quanto em trânsito, além de controles contra vazamento de informações e softwares maliciosos.

10. A partir de quando as novas regras passam a valer?

As Resoluções CMN nº 5.274/2025 e BCB nº 538/2025 entraram em vigor em março de 2026. As instituições devem utilizar o período anterior para adequação técnica, revisão de processos e implementação dos controles exigidos.

11. O que acontece se a instituição não estiver em conformidade?

O descumprimento pode resultar em determinações de adequação, procedimentos administrativos, aumento do escrutínio regulatório e impacto reputacional. Em casos mais graves, podem ocorrer restrições operacionais conforme avaliação do Banco Central.

12. Qual é a principal mudança conceitual trazida pelas novas resoluções?

A principal mudança é a transição de um modelo baseado em políticas declaratórias para um modelo baseado em evidência técnica comprovável. O regulador passa a exigir não apenas a existência de controles formais, mas comprovação documentada de que eles estão implementados, operando e sendo monitorados.