A digitalização no sistema financeiro brasileiro, impulsionada pelo Pix e pela adoção de serviços em nuvem, ampliou significativamente a superfície de ataque das instituições financeiras.
Nesse contexto, o Banco Central e o Conselho Monetário Nacional avançaram ao aprovar as Resoluções BCB nº 538 e CMN nº 5.274, em dezembro de 2025.
Esses normativos atualizam a regulação de cibersegurança, com impactos diretos na governança, nos controles técnicos e na gestão de riscos das instituições autorizadas pelo BC.
Neste artigo, apresentaremos um panorama geral das Resoluções nº 538 e nº 5.274, destacando objetivos, requisitos e implicações práticas para as instituições financeiras brasileiras.
Serão abordados os novos parâmetros de governança, os controles técnicos exigidos, o reforço da segurança na RSFN, além dos desafios de adequação às normativas.
1. O contexto regulatório e a motivação das mudanças
A iniciativa do BC e do CMN busca uniformizar o ambiente regulatório e reforçar a segurança das infraestruturas de comunicação e dos sistemas de pagamentos.
O aumento exponencial do tráfego na Rede do Sistema Financeiro Nacional (RSFN), especialmente após a implantação do Pix, elevou o risco sistêmico associado a falhas operacionais, incidentes cibernéticos e fraudes digitais.
Nesse cenário, a cibersegurança deixa de ser restrita à TI e torna-se central para a estabilidade financeira, continuidade operacional e confiança no sistema financeiro nacional.
As resoluções refletem essa mudança de paradigma ao exigir controles mais abrangentes, estruturados e verificáveis.
2. Ampliação e detalhamento da política de segurança cibernética
Um dos principais avanços das Resoluções 5.274 e 538 está na ampliação e detalhamento dos requisitos mínimos exigidos na política de cibersegurança das instituições.
Os normativos estabelecem um conjunto robusto de procedimentos e controles que passam a ser obrigatórios, incluindo, entre outros:
- Autenticação e múltiplos fatores de autenticação;
- Mecanismos de criptografia;
- Prevenção e detecção de intrusão;
- Prevenção de vazamento de informações;
- Proteção contra softwares maliciosos;
- Rastreabilidade de transações e operações;
- Gestão de cópias de segurança;
- Avaliação e correção de vulnerabilidades;
- Controles de acesso;
- Perfis de configuração segura;
- Proteção de rede;
- Gestão de certificados digitais;
- Requisitos de segurança para integração de sistemas por interfaces eletrônicas;
- Ações de inteligência cibernética, incluindo monitoramento de informações na internet, Deep Web e Dark Web.
Esse nível de detalhamento reduz ambiguidades interpretativas e eleva o grau de expectativa regulatória, exigindo das instituições maior formalização, padronização e evidência dos controles adotados.
3. Segurança incorporada ao desenvolvimento e à adoção de tecnologias
Outro aspecto relevante é a ampliação dos controles de segurança para o desenvolvimento de sistemas de informação e para a adoção de novas tecnologias.
As resoluções deixam explícito que os requisitos de segurança devem ser aplicados não apenas a sistemas legados, mas também a sistemas adquiridos ou desenvolvidos por terceiros, inclusive quando executados com recursos computacionais da própria instituição.
Essa abordagem reforça os conceitos de security by design e security by default, exigindo que a segurança seja considerada desde a concepção das soluções tecnológicas.
Com isso, são mitigados os riscos associados a dependências externas, fornecedores e cadeias de suprimentos digitais.
4. Rastreabilidade e auditoria como pilares de governança
Os mecanismos de rastreabilidade passam a ocupar posição de destaque nos normativos.
As instituições devem assegurar trilhas de auditoria completas do processamento de dados, com definição clara de logs, tempos de retenção e proteção segura dessas informações.
Essa exigência tem implicações diretas na capacidade de investigação de incidentes, na responsabilização interna e na transparência perante o regulador.
Em um ambiente financeiro altamente regulado, a rastreabilidade deixa de ser apenas uma boa prática e se consolida como requisito essencial de governança e conformidade.
5. Gestão de vulnerabilidades e testes de intrusão obrigatórios
As resoluções estabelecem critérios claros e objetivos para a avaliação e correção de vulnerabilidades.
Esses critérios incluem testes periódicos, varreduras de rede, análises de ativos tecnológicos e a identificação de dispositivos não autorizados.
Um ponto de especial relevância é a exigência de testes de intrusão com periodicidade mínima anual.
Esses testes devem ser realizados por profissionais independentes e imparciais, com documentação detalhada dos resultados e dos planos de ação para correção das vulnerabilidades identificadas.
A obrigatoriedade de manter essa documentação à disposição do Banco Central por cinco anos reforça o caráter contínuo e verificável da gestão de riscos cibernéticos.
6. Reforço dos controles de acesso e proteção de rede
Os normativos também aprofundam os requisitos relacionados aos controles de acesso e à proteção de rede.
Entre as exigências referentes à gestão de acessos, destacam-se:
- A limitação do acesso à rede corporativa apenas a usuários e dispositivos autorizados;
- A realização de revisões periódicas de permissões, especialmente no caso de terceiros;
- A adoção de autenticação multifatorial para acessos externos.
No âmbito da proteção de rede, ganham destaque:
- A segmentação de ambientes;
- O isolamento de sistemas críticos;
- O monitoramento de conexões;
- O definição de critérios para acessos fora do horário comercial;
- A implementação de processos para identificação e tratamento de eventos atípicos.
Essas medidas reforçam a necessidade de uma postura de defesa em profundidade, especialmente em ambientes que suportam processos críticos do negócio.
7. Segurança reforçada na RSFN, Pix e STR
Um dos pontos mais sensíveis das novas resoluções é o fortalecimento dos requisitos de segurança para a comunicação eletrônica de dados na RSFN.
Esse reforço tem foco especial nos ambientes do Pix e do Sistema de Transferência de Reservas (STR).
Entre as exigências estão:
- Uso de múltiplos fatores de autenticação para acessos administrativos;
- Isolamento físico e lógico dos ambientes Pix e STR;
- Monitoramento rigoroso de credenciais e certificados digitais;
- Validação da integridade fim a fim das transações antes da assinatura digital;
- Vedação expressa ao acesso de terceiros às chaves privadas das instituições.
Essas medidas refletem a criticidade sistêmica desses ambientes e o potencial impacto de incidentes de segurança sobre a estabilidade do sistema financeiro como um todo.
8. Prazo de adequação e desafios de implementação
A princípio, as instituições em funcionamento terão prazo até 1º de março de 2026 para se adequar às novas exigências.
O nível de detalhamento, a abrangência técnica e o caráter verificável dos requisitos tornam o processo de adequação complexo e desafiador.
A implementação exige planejamento, com revisão e formalização de políticas de cibersegurança, atualização de normativos internos, fortalecimento de controles técnicos e adequação de processos operacionais.
Também é necessária a capacitação contínua das equipes, especialmente nas áreas de tecnologia, segurança da informação, risco e compliance, além da integração entre essas funções.
Outro ponto crítico está na gestão de terceiros, pois as resoluções ampliam a responsabilidade das instituições sobre sistemas desenvolvidos ou operados por parceiros.
Isso pode exigir revisões contratuais, inclusão de cláusulas de segurança rigorosas, auditorias técnicas e, em alguns casos, substituição de provedores que não atendam aos requisitos.
Instituições que já adotam frameworks maduros de governança, risco e compliance, como ISO 27001, NIST ou COBIT, tendem a enfrentar menos dificuldades.
Para organizações com menor maturidade, o desafio será maior, exigindo abordagem integrada, progressiva e baseada em priorização de riscos, sem comprometer a continuidade do negócio.
9. Considerações finais
As Resoluções BCB nº 538 e CMN nº 5.274 representam um avanço relevante na consolidação da resiliência cibernética do sistema financeiro brasileiro.
Ao ampliar, detalhar e integrar requisitos de segurança, os normativos elevam o padrão mínimo esperado das instituições e reforçam a visão de que a cibersegurança é um pilar essencial da estabilidade financeira.
Mais do que cumprir requisitos regulatórios, as instituições que encararem essas resoluções como oportunidade de amadurecimento estarão melhor preparadas para os avanços do ambiente digital.
A adequação não é apenas uma obrigação legal, mas um passo estratégico rumo à sustentabilidade e à confiança no sistema financeiro nacional.
Precisa de auxílio especializado no processo de adequação às Resoluções BCB nº 538 e CMN nº 5.274?
A Diazero Security possui um portfólio completo de soluções e serviços de cibersegurança, apoiando instituições financeiras em iniciativas como:
- Avaliação e gestão de riscos cibernéticos
- Gestão de riscos de terceiros e fornecedores;
- Implementação e fortalecimento de controles de segurança;
- Gestão de acessos e identidades;
- Testes de intrusão (pentests) e exercícios de segurança;
- Gestão de vulnerabilidades;
- Soluções antifraude;
- Ações de cyber threat intelligence, incluindo monitoramento contínuo de ameaças;
- Fortalecimento da governança cibernética.
Entre em contato para entender como podemos apoiar sua instituição no atendimento aos requisitos regulatórios, com foco em conformidade, resiliência operacional e segurança sustentável.
Segurança