A publicação das Resoluções CMN 5.274/2025 e BCB 538/2025 marca uma virada importante na regulação de segurança cibernética do Sistema Financeiro Nacional. O que antes era tratado como “melhor prática” agora se torna obrigação formal, auditável e com impacto direto na operação — e isso muda o jogo para bancos, instituições de pagamento, corretoras e demais entidades supervisionadas. Para um gestor C‑level, isso significa que a segurança deixa definitivamente de ser um tema técnico e se consolida como um pilar estratégico de continuidade das operações.
A nova regulamentação exige que as instituições demonstrem efetividade dos controles, não apenas políticas bem escritas. Isso implica em revisitar a arquitetura de TI e cloud, garantindo que ambientes críticos estejam segregados, criptografados e monitorados de forma contínua. A adoção de padrões mínimos de configuração segura, mecanismos de prevenção e detecção de intrusão e controles robustos de integridade - passa a ser obrigatória. Em um cenário de crescente dependência de APIs e serviços em nuvem, essas exigências tornam-se fundamentais para reduzir riscos sistêmicos.
A relação com fornecedores críticos também chega a um novo patamar de rigor. Os contratos precisam contemplar requisitos específicos de segurança, rastreabilidade e continuidade, especialmente para provedores de nuvem, SOC terceirizado, serviços antifraude e mensageria. Isso aumenta a responsabilidade das instituições na gestão de terceiros e reduz a tolerância a lacunas contratuais que possam comprometer a proteção de dados ou a disponibilidade de serviços essenciais.
A governança de acessos privilegiados torna-se outro eixo central. A autenticação multifatorial passa a ser obrigatória para acessos críticos, assim como a gestão de credenciais exige controles mais rígidos, incluindo monitoramento contínuo, segregação de funções e mecanismos de proteção contra vazamento. Para a liderança, isso significa reforçar a disciplina interna e garantir que processos de acesso estejam alinhados a padrões de auditoria e conformidade.
Ambientes sensíveis como PIX, STR (sistema do Banco Central para a transferência de fundos entre instituições financeiras) e RSFN (rede de comunicação segura que conecta essas instituições ao Banco Central) passam a demandar isolamento físico e lógico, além de monitoramento contínuo e avaliações periódicas de vulnerabilidades. A operação desses sistemas, que sustentam a liquidez e a infraestrutura de pagamentos do País, precisa ser tratada como área de risco elevado, com controles específicos e capacidade de resposta rápida a incidentes. A resiliência desses ambientes se torna um indicador direto de maturidade operacional.
A obrigatoriedade de testes de intrusão e avaliações de vulnerabilidade periódicas reforça a necessidade de uma postura proativa. Não basta reagir a incidentes; é preciso antecipar falhas, validar continuamente a eficácia dos controles e corrigir vulnerabilidades com agilidade. Esse ciclo contínuo de avaliação fortalece a capacidade de defesa e reduz a superfície de ataque em um cenário de ameaças cada vez mais sofisticadas.
Um dos elementos mais disruptivos das novas normas é a exigência de inteligência cibernética, incluindo monitoramento na Deep e Dark Web. Isso amplia o escopo da segurança, que passa a incluir a identificação de credenciais expostas, movimentações de grupos de fraude e sinais antecipados de ataques direcionados. Para os tomadores de decisões, representa a necessidade de investir em capacidades analíticas e integrar inteligência ao processo decisório de risco.
Esse movimento regulatório ocorre em um momento em que o setor de tecnologia vive expansão acelerada. Segundo a Brasscom, o macrossetor de TIC pode gerar entre 30 mil e 147 mil novos empregos formais até dezembro de 2025, com 57% dessas vagas diretamente ligadas à área de tecnologia. Esse crescimento reforça a pressão por mão de obra qualificada em cibersegurança e evidencia que a demanda por controles mais robustos não é apenas regulatória, mas é também impulsionada pela dinâmica do mercado.
Em síntese, as novas resoluções elevam o padrão de segurança do setor financeiro brasileiro e exigem que as instituições adotem uma postura mais madura, integrada e orientada a riscos.
Por Bruno Pereira, Business Development Manager da Teletex
