O Banco Central do Brasil (BCB), em conjunto com o Conselho Monetário Nacional (CMN), publicou um novo conjunto de regras que reforçam os requisitos de cibersegurança e gestão de riscos tecnológicos para instituições autorizadas a operar no Sistema Financeiro Nacional. As medidas entram em vigor a partir de 1º de março de 2026 e impactam bancos, fintechs, cooperativas, instituições de pagamento e demais autorizadas pelo BC.
As novas diretrizes estão descritas nas Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, que substituem e ampliam normas anteriores, trazendo exigências mais rígidas sobre governança, controles técnicos e auditoria em segurança da informação. O objetivo é adequar o sistema financeiro à crescente digitalização e às ameaças cibernéticas cada vez mais sofisticadas. Entre os principais pontos estão a obrigação de implementar políticas de segurança cibernética efetivas, que vão além da documentação e se aplicam na prática ao ambiente tecnológico. Isso inclui medidas como autenticação forte, gestão de vulnerabilidades, criptografia de dados, proteção de rede e controle de acessos.
As instituições também deverão manter logs detalhados e rastreáveis de acessos e operações críticas, com garantia de integridade e disponibilidade. Esses registros servirão para auditorias internas, investigações de incidentes e supervisão regulatória, com exigência de retenção mínima de cinco anos. Outra mudança significativa é a exigência de testes de intrusão (pentests) realizados por empresas especializadas. Os relatórios deverão conter plano de ação para correção de falhas e ficar à disposição do BC em fiscalizações. O conjunto de regras ainda amplia a responsabilidade das instituições em relação ao uso de serviços terceirizados, como armazenamento em nuvem e processamento de dados. Esses fornecedores precisarão atender aos mesmos padrões de segurança definidos pelas normas.
