Instituições têm até 1º de março de 2026 para se adequar às resoluções que elevam exigências de proteção do Pix, STR e ambientes em nuvem
O Banco Central do Brasil (BCB) e o Conselho Monetário Nacional (CMN) aprovaram, em dezembro de 2025, um conjunto de resoluções que estabelecem um novo patamar de segurança cibernética para o Sistema Financeiro Nacional. As medidas, que devem ser implementadas até 1º de março de 2026, representam uma mudança significativa na forma como as instituições financeiras precisam gerenciar seus ambientes tecnológicos.
As resoluções CMN 5.274 e BCB 538 marcam o fim da era das recomendações e introduzem exigências técnicas mais rigorosas, abrangendo desde sistemas de pagamento instantâneo até a contratação de serviços em nuvem e gestão de terceiros. A mudança reflete o entendimento regulatório de que a digitalização acelerada do setor financeiro exige controles proporcionais aos riscos envolvidos.
Mudança de paradigma na segurança
A principal transformação trazida pelas novas normas está na abordagem da segurança cibernética. O modelo anterior, baseado em listas de verificação e controles isolados, dá lugar a uma visão integrada que exige evidências contínuas de efetividade. As instituições precisarão demonstrar não apenas que possuem mecanismos de proteção, mas que estes funcionam de forma consistente ao longo do tempo.
Pix e infraestruturas críticas sob escrutínio
Com o crescimento exponencial do Pix, os ambientes conectados à Rede do Sistema Financeiro Nacional (RSFN) e ao Sistema de Transferência de Reservas (STR) passam a ser tratados como infraestrutura crítica. As novas regras estabelecem requisitos específicos, incluindo autenticação multifator obrigatória para acessos administrativos, isolamento lógico e físico dos ambientes, proteção reforçada de credenciais e certificados digitais, validação de integridade das transações e restrições severas ao acesso a chaves privadas.
Impactos operacionais e tecnológicos
Para atender às exigências regulatórias, as instituições financeiras precisarão estruturar capacidades que vão além da implementação pontual de controles. Isso inclui monitoramento e correlação contínua de logs de segurança, gestão permanente de vulnerabilidades com ciclos recorrentes de identificação e correção, monitoramento de exposição e vazamento de dados na surface, deep e dark web, além de testes de penetração recorrentes integrados a planos de ação documentados.
A adequação demanda revisão profunda de políticas internas, arquitetura tecnológica, processos operacionais e relacionamento com fornecedores. O desafio não se limita à área de tecnologia, exigindo alinhamento entre governança, gestão de riscos e conformidade regulatória.
Prazo e consequências
Com o prazo de adequação encerrando em 1º de março de 2026, instituições financeiras enfrentam o desafio de avaliar rapidamente seu nível de conformidade e implementar as mudanças necessárias. O não atendimento às exigências pode resultar em riscos regulatórios, operacionais e de continuidade dos negócios, além de potenciais sanções pelo órgão regulador.
As novas resoluções sinalizam uma tendência de endurecimento da supervisão regulatória sobre aspectos de segurança cibernética no setor financeiro brasileiro, acompanhando movimentos similares observados em outras jurisdições globais.
Fonte: Banco Central do Brasil
