O que muda para a segurança cibernética das instituições autorizadas até março de 2026 com as Resoluções BCB 538/2025 e CMN 5.274/2025
Fique por dentro das nossas novidades!
Inscreva-se para receber atualizações exclusivas.
Escrito por Laura Tostes, advogado especialista em proteção de dados para empresas de tecnologia e fintechs na NDM Advogados.
Há mais de 10 anos oferecemos assessoria jurídica e contábil completa para empresas tech crescerem com segurança e poderem focar no que importa.
Atualizado em 23/01/2026
A segurança cibernética deixou de ser um tema restrito à área de tecnologia e passou a ocupar posição central na estratégia regulatória das instituições financeiras, de pagamento e fintechs.
Em dezembro de 2025, o Banco Central do Brasil e o Conselho Monetário Nacional publicaram duas normas que reforçam, detalham e ampliam as exigências de segurança cibernética e de governança tecnológica. O ponto de atenção é objetivo: instituições já em operação precisam estar adequadas até 1º de março de 2026.
Neste artigo, explicamos de forma prática o que muda, quem é impactado e como se preparar para evitar riscos regulatórios, operacionais e reputacionais.
Índice
1. Quais normas foram publicadas e quem precisa se adequar?
As novas exigências decorrem da publicação de dois atos normativos em 18 de dezembro de 2025.
A Resolução BCB nº 538/2025, que altera a Resolução BCB nº 85/2021 e afeta diretamente instituições como Instituições de Pagamento, corretoras e distribuidoras de valores mobiliários e corretoras de câmbio autorizadas.
Já a Resolução CMN nº 5.274/2025 atualiza a Resolução CMN nº 4.893/2021 e alcança instituições financeiras em sentido amplo, como bancos, financeiras e Sociedades de Crédito Direto (SCDs).
Na prática, qualquer instituição autorizada pelo Banco Central ou que opere infraestrutura crítica do Sistema Financeiro Nacional precisa revisar sua estrutura de segurança cibernética.
2. O que muda com os controles mínimos obrigatórios de segurança cibernética?
As resoluções deixam claro que não basta possuir políticas formais. Os controles precisam estar efetivamente implementados, operantes e passíveis de comprovação perante o regulador.
Dentre os controles mínimos que agora precisam estar cobertos e evidenciáveis estão mecanismos de autenticação robusta, incluindo múltiplos fatores em cenários sensíveis, criptografia, proteção contra malware, prevenção e detecção de intrusões, e vazamentos de dados.
Também ganha destaque a necessidade de rastreabilidade completa das operações, com trilhas de auditoria de ponta a ponta, retenção adequada de logs e armazenamento seguro dessas informações.
Outro ponto relevante é a exigência expressa de que a segurança cibernética seja incorporada desde o desenvolvimento dos sistemas e na adoção de novas tecnologias. O conceito de security by design deixa de ser recomendação e passa a ser obrigação regulatória.
3. Rastreabilidade e política de retenção de logs
A rastreabilidade passa a abranger transações, operações e acessos relevantes, exigindo trilhas de auditoria completas ao longo de todo o processamento.
As normas exigem definição clara de prazos de retenção de logs conforme o tipo de operação realizada, além de mecanismos que garantam a integridade, confidencialidade e disponibilidade dessas informações durante todo o período de guarda.
Esse ponto costuma ser um dos mais sensíveis em fiscalizações, especialmente quando há incidentes ou questionamentos de órgãos reguladores.
4. Gestão de vulnerabilidades e pentest anual obrigatório
A gestão de vulnerabilidades passa a ser tratada como um processo contínuo e estruturado.
As instituições devem realizar análises periódicas de vulnerabilidade, varreduras para identificação de ativos ou dispositivos indevidos na rede, testes técnicos recorrentes e correções tempestivas das falhas identificadas.
Além disso, o teste de intrusão, conhecido como pentest, ganha regra própria. Ele deve ser realizado, no mínimo, uma vez por ano, por empresa ou profissional independente, com documentação formal dos resultados e dos planos de ação para mitigação dos riscos encontrados.
Não se trata apenas de executar o teste, mas de demonstrar governança sobre todo o processo.
5. Novas exigências para Pix, STR e RSFN
As resoluções criam obrigações adicionais para instituições que operam ambientes críticos do sistema financeiro, como Pix, STR e a Rede do Sistema Financeiro Nacional (RSFN).
Alguns dos principais pontos estão a exigência de autenticação multifator (MFA) para acessos administrativos, isolamento físico e lógico dos ambientes Pix e STR, inclusive em ambientes de nuvem, e controles rigorosos sobre certificados digitais e chaves criptográficas.
A norma também veda o acesso de terceiros às chaves privadas utilizadas para assinatura digital de mensagens e exige validação da integridade das transações antes da assinatura.
Instituições participantes de Sistemas do Mercado Financeiro devem, ainda, implementar controles específicos para prevenção, detecção e resposta a fraudes.
6. RSFN passa a ser considerada serviço relevante
Outro ponto relevante é o enquadramento da comunicação eletrônica de dados na RSFN como serviço relevante para fins regulatórios.
Isso impacta diretamente contratos de tecnologia, processamento de dados e computação em nuvem, exigindo análises mais rigorosas de riscos, cláusulas específicas, planos de continuidade e governança sobre prestadores terceiros.
Mesmo quando a instituição não se conecta diretamente à RSFN, mas utiliza prestadores que processam mensagens no âmbito do Sistema Financeiro Nacional ou do SPB, a responsabilidade regulatória permanece.
7. Governança, reporte e envolvimento da alta administração
As novas normas reforçam o papel da governança corporativa na segurança cibernética.
Os reportes periódicos às instâncias de governança devem contemplar incidentes cibernéticos relevantes ocorridos no período, resultados de testes de continuidade, resultados de pentests e análises de vulnerabilidade, sempre acompanhados dos respectivos planos de ação.
Na prática, a segurança cibernética passa a ser tema obrigatório na agenda da diretoria e do conselho.
8. O prazo é curto: como se preparar até março de 2026
Embora o prazo final seja 1º de março de 2026, o volume de ajustes exigidos é significativo e envolve áreas técnicas, jurídicas, de compliance e de governança.
A adequação passa por diagnóstico regulatório, revisão de políticas e contratos, testes técnicos, ajustes de arquitetura tecnológica e estruturação de evidências para os reguladores.
Mais do que cumprir uma exigência normativa, trata-se de elevar o nível de maturidade da instituição e reduzir riscos que podem comprometer a continuidade do negócio.
Como a NDM pode apoiar nesse processo
A NDM atua na estruturação jurídica e regulatória de instituições financeiras, de pagamento e fintechs, apoiando desde o diagnóstico de aderência às normas do Banco Central até a implementação de governança, políticas, contratos e evidências exigidas em fiscalizações e pedidos de informação.
Na prática, nosso diferencial é transformar requisitos regulatórios em rotina operacional auditável – com entregas objetivas, priorização do que é crítico e organização de evidências para reduzir fricção com auditorias e supervisões.
Se a sua instituição precisa adequar políticas e controles com prazo e com segurança para sustentar a conformidade no dia a dia, a NDM pode apoiar com uma jornada estruturada, orientada a evidências, que conecta governança, tecnologia e jurídico para entregar segurança regulatória com consistência.
Você também pode se interessar
Entre em
contato conosco
Estamos prontos para ajudar sua startup a crescer. Agende uma consulta e saiba mais!
Estamos prontos para ajudar seu negócio a crescer. Agende uma consulta e saiba mais!