O Banco Central (BC) e o Conselho Monetário Nacional (CMN) aprovaram novas regras que estabelecem requisitos mais rígidos de segurança cibernética e contratação de serviços de processamento, armazenamento de dados e computação em nuvem pelas instituições autorizadas a funcionar pelo BC. As medidas estão na Resolução CMN 5.274/2025 e Resolução BCB 538/2025, publicadas nesta quinta-feira (18/12). As instituições terão até 1/3/2026 para adequação às novas regras.
De acordo com o BC, a iniciativa busca uniformizar o ambiente regulatório e fortalecer a segurança das infraestruturas de comunicação de dados e dos sistemas de pagamentos do Sistema Financeiro Nacional (SFN) e do Sistema de Pagamentos Brasileiro (SPB).
“O aprimoramento ocorre em resposta à crescente digitalização do setor e à implantação do Pix, que ampliou o tráfego na Rede do Sistema Financeiro Nacional (RSFN)”, disse o regulador, em nota.
O que muda
Entre as principais mudanças, as instituições deverão incorporar requisitos mínimos adicionais à política de segurança cibernética. Fazem parte dos requisitos itens como gestão de certificados digitais, integração segura de sistemas, ações de inteligência cibernética, rastreabilidade de operações, testes de intrusão, controles de acesso, proteção de rede e aplicação regular de correções.
Leia também
Houve, ainda, a ampliação do escopo dos controles de segurança para o desenvolvimento de sistemas de informação e adoção de novas tecnologias. Isso inclui sistemas adquiridos ou desenvolvidos por terceiros.
As novas regras também reforçam os requisitos de segurança para comunicação eletrônica de dados com a RSFN, sobretudo nos ambientes Pix e Sistema de Transferência de Reservas (STR). Entre as exigências estão autenticação multifatorial, isolamento de ambientes, monitoramento de credenciais e vedação de acesso de terceiros às chaves privadas das instituições.
Além disso, as instituições deverão realizar anualmente testes de intrusão por profissionais independentes. Será necessário documentar os resultados e planos de ação para correção de vulnerabilidades. Isso deve estar à disposição do BC por cinco anos.
O serviço de comunicação eletrônica de dados na RSFN, por sua vez, foi qualificado como serviço relevante para fins de contratação. Está sujeito a padrões rigorosos de gestão de riscos e supervisão pelo BC, informou a autarquia.
”Essas medidas fazem parte de uma agenda mais ampla de revisão regulatória voltada à segurança e resiliência cibernética, alinhada às melhores práticas internacionais. O objetivo é elevar o nível de proteção das infraestruturas, mitigar riscos e garantir um ambiente seguro para a inovação digital”, apontou o BC.
