Novo marco de segurança digital passa a valer hoje e impõe obrigações inéditas a bancos e fintechs

Entram em vigor nesse domingo, 1º de março de 2026, as novas exigências de segurança cibernética impostas às instituições financeiras brasileiras pelas Resoluções CMN nº 5.274/2025 e BCB nº 538/2025. A partir de hoje, bancos, instituições de pagamento, corretoras e distribuidoras devem estar plenamente adequados a um conjunto mais rigoroso de controles técnicos e de governança, especialmente no que se refere ao Pix, ao uso de computação em nuvem e à prevenção a fraudes.

As normas representam um dos mais relevantes avanços regulatórios recentes em matéria de segurança digital no Sistema Financeiro Nacional, reforçando a proteção de infraestruturas críticas diante do aumento de ataques cibernéticos e fraudes eletrônicas.

Entre os pontos centrais das resoluções está o endurecimento das regras aplicáveis ao Pix, ao Sistema de Transferência de Reservas (STR) e ao Sistema de Pagamentos Instantâneos (SPI), que operam por meio da Rede do Sistema Financeiro Nacional (RSFN). A partir de agora, os ambientes que suportam Pix e STR devem permanecer fisicamente e logicamente isolados dos demais sistemas das instituições. Quando houver uso de computação em nuvem, passam a ser obrigatórias instâncias dedicadas e segregadas.

O acesso administrativo a esses ambientes críticos também sofre restrições mais severas. O uso de autenticação multifator (MFA) torna-se obrigatório, ampliando as barreiras contra acessos indevidos. Além disso, empresas terceirizadas ficam proibidas de acessar chaves privadas de certificados digitais utilizados para assinatura de mensagens. O controle sobre credenciais e certificados no âmbito do SPI deve ser rigorosamente monitorado.

Outro avanço importante diz respeito à integridade das transações. As instituições passam a ter o dever de implementar mecanismos que validem as operações de ponta a ponta antes da assinatura digital, assegurando que os dados não tenham sido alterados ou corrompidos durante o processamento. A comunicação de dados na RSFN passa, formalmente, a ser classificada como “serviço relevante” para fins de contratação de armazenamento e computação em nuvem, impondo maior rigor na gestão de riscos contratuais.

As exigências também alcançam a gestão de vulnerabilidades. Testes de intrusão, os chamados penetration tests, tornam-se obrigatórios com periodicidade mínima anual. Eles devem ser conduzidos com independência e imparcialidade, seja por empresas especializadas externas, seja por equipes internas segregadas das áreas operacionais. Os resultados e respectivos planos de ação precisam ser documentados. Além disso, as instituições devem realizar varreduras periódicas para identificar dispositivos conectados indevidamente à rede e vulnerabilidades em seus ativos tecnológicos.

No campo do monitoramento de redes, passam a ser exigidos processos específicos para detectar eventos atípicos, conexões externas e uso de VPNs, especialmente fora do horário comercial, à noite e em dias não úteis, períodos frequentemente explorados em ataques cibernéticos. A segmentação de redes e o reforço de regras de firewall tornam-se práticas obrigatórias para proteger ambientes críticos e de produção.

O controle de acesso também é ampliado. Qualquer acesso externo à rede corporativa deve utilizar autenticação multifator. As permissões de usuários precisam ser revisadas periodicamente, com atenção especial aos terceiros. As instituições devem ainda manter trilhas de auditoria capazes de registrar o processamento “fim a fim” das operações, armazenando logs de forma segura por período previamente definido.

No combate às fraudes, instituições conectadas a Sistemas do Mercado Financeiro passam a ter de adotar controles específicos voltados à prevenção, detecção e resposta a incidentes. A gestão de certificados digitais também ganha novas camadas de proteção, com exigência de controles físicos e lógicos rigorosos para evitar o compartilhamento indevido de chaves privadas e permitir a rápida verificação de certificados revogados.

Por fim, as normas reforçam a obrigação de boas práticas de configuração e gestão do ciclo de vida tecnológico. A aplicação regular de atualizações de segurança, a eliminação de senhas padrão e a adoção de configurações seguras tornam-se exigências formais.

Com a entrada em vigor das regras, o Banco Central sinaliza um endurecimento definitivo no tratamento dos riscos cibernéticos no setor financeiro. Para as instituições que concluíram o processo de adequação, o dia marca o início de uma nova fase regulatória. Para aquelas que eventualmente ainda apresentem fragilidades, o cenário passa a exigir atenção redobrada, sob pena de sanções administrativas e impacto reputacional.