Atualização regulatória amplia controles obrigatórios e reforça necessidade de evidências operacionais em instituições que atuam no sistema financeiro
Com o Pix já responsável por 50,9% das transações financeiras realizadas no Brasil e 36,9 bilhões de operações registradas apenas no primeiro semestre de 2025, segundo dados do Banco Central, a segurança digital passou a ocupar um papel ainda mais central na estabilidade do sistema financeiro. Uma análise da LC SEC, empresa especializada em cibersegurança e compliance regulatório, aponta que a atualização das exigências do Banco Central deixou de tratar a cibersegurança apenas como requisito técnico e passou a exigir governança comprovável, controles mínimos obrigatórios e capacidade operacional demonstrável de bancos, fintechs e demais instituições supervisionadas.
Segundo Luiz Claudio, CEO e fundador da LC SEC, a mudança representa um novo patamar de cobrança regulatória no setor financeiro. “Durante muitos anos, a segurança cibernética foi tratada principalmente como uma camada técnica de proteção. O que o regulador deixa claro agora é que ela precisa ser comprovável e auditável. Não basta declarar políticas ou possuir ferramentas; é necessário demonstrar que os controles funcionam e que a organização consegue prevenir, detectar e responder a incidentes de forma estruturada”, afirma.
As mudanças foram formalizadas em dezembro de 2025 com a publicação da Resolução CMN nº 5.274 e da Resolução BCB nº 538, que atualizaram as diretrizes de segurança cibernética aplicáveis às instituições supervisionadas pelo Banco Central. As normas estabeleceram prazo de adequação a partir de março de 2026 e reforçam exigências para organizações que participam de infraestruturas críticas do sistema financeiro, como o Sistema de Pagamentos Instantâneos (Pix), o Sistema de Transferência de Reservas (STR) e a Rede do Sistema Financeiro Nacional (RSFN).
Entre os principais pontos do novo marco regulatório está a definição de 14 controles mínimos obrigatórios, que abrangem autenticação forte, criptografia, prevenção e detecção de intrusão, proteção contra vazamento de dados, rastreabilidade, backup, gestão de vulnerabilidades, hardening de sistemas, proteção de rede, gestão de certificados digitais e segurança em APIs. As normas também passam a exigir testes anuais de intrusão conduzidos por equipes independentes, além da manutenção de registros técnicos e planos de ação que possam ser apresentados em auditorias e processos de supervisão regulatória.
O endurecimento das regras acompanha o crescimento acelerado das operações financeiras digitais no país. Em dezembro de 2025, o Pix registrou recorde diário de 313.339.828 transações, reforçando o papel central do sistema de pagamentos instantâneos na economia brasileira.
Esse aumento na escala das transações digitais ocorre em paralelo ao crescimento do impacto financeiro de incidentes cibernéticos. O relatório Cost of a Data Breach 2025, da IBM Security, aponta que o custo médio de uma violação de dados no Brasil chegou a R$ 7,19 milhões, acima dos R$ 6,75 milhões registrados em 2024. No setor financeiro, o impacto médio é ainda maior, atingindo R$ 8,92 milhões por incidente.
Além disso, a origem dos ataques continua fortemente ligada a fatores humanos e à cadeia de fornecedores. O Data Breach Investigations Report 2025, da Verizon, indica que o elemento humano esteve presente em cerca de 60% das violações analisadas, enquanto o envolvimento de terceiros praticamente dobrou, passando de 15% para 30% dos casos investigados.
Para Luiz Claudio, esse cenário reforça a necessidade de integrar segurança cibernética à governança das instituições financeiras. “A regulação do Banco Central deixa claro que segurança digital não pode mais ser tratada apenas como responsabilidade da área de tecnologia. Ela envolve gestão de riscos, fornecedores, acessos privilegiados, integração entre sistemas e capacidade de resposta a incidentes. As instituições que não estruturarem esse modelo de governança terão mais dificuldade para demonstrar conformidade e sustentar a confiança do mercado”, explica.
Diante desse novo cenário regulatório, cresce a demanda por programas estruturados de adequação e fortalecimento da segurança digital. Avaliações de maturidade em segurança, testes de intrusão, gestão de vulnerabilidades, auditorias internas, inteligência de ameaças e preparação de evidências para supervisão regulatória estão entre as iniciativas adotadas por instituições que buscam alinhar suas operações às novas exigências do Banco Central.