Novas regras do BC aumentam exigência de segurança em bancos e fintechs

Com o Pix respondendo por 50,9% das transações financeiras no Brasil e 36,9 bilhões de operações no primeiro semestre de 2025, conforme informações do Banco Central, a proteção digital tornou-se ainda mais essencial para a estabilidade do sistema financeiro.

Uma análise da LC SEC, empresa especializada em cibersegurança e compliance regulatório, destaca que a atualização das normas do Banco Central elevou a cibersegurança de um mero requisito técnico para uma obrigação de governança comprovada, com controles mínimos e capacidade operacional clara para bancos, fintechs e outras instituições reguladas.

De acordo com Luiz Claudio, CEO e fundador da LC SEC, essa mudança marca um novo patamar na regulação financeira. “Por muito tempo, a segurança cibernética foi vista principalmente como proteção técnica. Agora, o regulador exige que ela seja comprovada e auditável. Não é suficiente possuir políticas ou ferramentas; é necessário demonstrar que os controles funcionam e que a organização pode prevenir, detectar e responder a incidentes de forma eficaz”, esclarece.

As atualizações foram oficializadas em dezembro de 2025, com as resoluções CMN nº 5.274 e BCB nº 538, que revisaram as diretrizes de segurança digital para instituições supervisionadas pelo Banco Central.

Essas normas determinaram que a adaptação deve ocorrer até março de 2026 e reforçaram as exigências para as organizações que fazem parte das infraestruturas críticas do sistema financeiro, como o Pix, o STR e a RSFN.

Entre os principais pontos do novo regulamento estão 14 controles mínimos obrigatórios, incluindo autenticação forte, criptografia, prevenção e detecção de intrusão, proteção contra vazamento de dados, rastreabilidade, backup, gestão de vulnerabilidades, fortalecimento dos sistemas, proteção de rede, gerenciamento de certificados digitais e segurança em APIs.

Agora, também são obrigatórios testes anuais de intrusão feitos por equipes independentes, além da manutenção de registros técnicos e planos de ação que possam ser exibidos em auditorias e processos regulatórios.

O endurecimento das regras acompanha o rápido crescimento das operações financeiras digitais no país. Em dezembro de 2025, o Pix bateu recorde diário com 313.339.828 transações, reforçando sua importância na economia brasileira.

Este avanço das transações digitais ocorre junto ao aumento do impacto financeiro causado por incidentes cibernéticos. O relatório Cost of a Data Breach 2025, da IBM Security, mostra que o custo médio de uma violação de dados no Brasil alcançou R$ 7,19 milhões, acima dos R$ 6,75 milhões de 2024. No setor financeiro, esse valor é ainda maior, chegando a R$ 8,92 milhões por incidente.

Além disso, a origem dos ataques está frequentemente ligada a falhas humanas e à cadeia de fornecedores. Segundo o Data Breach Investigations Report 2025, da Verizon, cerca de 60% das violações envolveram o fator humano, enquanto o envolvimento de terceiros dobrou, passando de 15% para 30%.

Luiz Claudio reforça que este cenário destaca a importância de integrar a cibersegurança à governança das instituições financeiras. “A regulamentação do Banco Central deixa claro que a segurança digital não deve mais ser responsabilidade exclusiva da área de tecnologia. Ela envolve gestão de riscos, fornecedores, acessos privilegiados, integração entre sistemas e resposta eficaz a incidentes. Organizações que não estruturarem essa governança terão dificuldades para comprovar conformidade e manter a confiança do mercado”, explica.

Diante dessas mudanças regulatórias, cresce a demanda por programas que reforcem a segurança digital, como avaliações de maturidade em segurança, testes de intrusão, gestão de vulnerabilidades, auditorias internas, inteligência contra ameaças e preparação de registros para processos regulatórios. Essas são iniciativas adotadas por instituições que buscam se adequar às novas regras do Banco Central.