A evolução recente da agenda do Banco Central do Brasil sinaliza uma mudança de paradigma: cibersegurança deixou de ser um tema restrito à TI e passou a ser tratada como capacidade institucional, ligada à governança, à resiliência operacional e ao apetite a risco da organização. Essa inflexão aparece tanto na exigência de controles técnicos quanto na cobrança por estruturas formais de planejamento, monitoramento e prestação de contas à alta administração. Em termos práticos, o regulador está deslocando o foco de “proteção de ativos” para “garantia de continuidade e confiança sistêmica”.
Esse movimento também reflete uma constatação madura: muitos incidentes não nascem da ausência de tecnologia, mas da fragmentação entre decisão executiva, operação de TI e gestão de risco. Quando o tema permanece encapsulado em equipes técnicas, a resposta tende a ser reativa, episódica e pouco alinhada ao negócio, com pouca capacidade de priorização baseada em impacto. O que o Banco Central exige, na prática, é que a segurança seja gerida como disciplina de governança, e não como catálogo de ferramentas.
Marco regulatório e pressão por maturidade com as referências indicam a atualização do marco normativo com resoluções como CMN 5.274 e BCB 538, além de discussões associadas à Resolução BCB nº 304 e a novas exigências sobre nuvem, continuidade e segurança cibernética. Entre os controles citados estão autenticação multifator, criptografia, testes de invasão, segmentação de redes e gestão de certificados digitais. O efeito combinado dessas medidas é elevar o padrão mínimo esperado, reduzindo espaço para interpretações excessivamente flexíveis sobre “boas práticas”.
Há um ponto relevante na escolha do regulador por controles mais prescritivos: em ambientes de alta criticidade, a autorregulação pura costuma produzir assimetrias de maturidade e atrasos de implementação. Ao definir periodicidade mínima para avaliações, exigir planos diretores e reforçar testes de continuidade, o Banco Central sinaliza que conformidade não é um evento, mas um ciclo contínuo de evidência, revisão e melhoria. Para instituições financeiras e fornecedores relevantes, isso implica maior disciplina documental, maior rastreabilidade e menor tolerância a controles “de papel” sem teste operacional.
Governança além da TI, o ponto mais estratégico das referências é a separação entre gestão de segurança da informação e a estrutura clássica de TI, evitando conflito de interesses e reduzindo a captura da função de risco por prioridades puramente operacionais, ou seja, o gestor de TI e o gestor de SI necessitam ser irmãos na estrutura. A lógica é simples: quem opera a tecnologia não deve, sozinho, arbitrar o nível de risco aceitável nem validar sua própria conformidade. Em organizações maduras, segurança precisa dialogar com arquitetura, operações, jurídico, risco, compliance, auditoria e negócios, com patrocínio explícito do board.
A consequência direta é a necessidade de modelos de governança com papéis claros, indicadores executivos e cadência de reporte compatível com o risco do negócio. O Plano Diretor de TI, citado como obrigação, ganha peso semelhante ao Plano Diretor de Segurança da Informação, o que fortalece a visão integrada entre estratégia tecnológica e proteção. Isso exige priorização por criticidade, gestão de backlog de vulnerabilidades, métricas de remediação e monitoramento contínuo, não apenas relatórios trimestrais atrasados.
Nuvem, terceiros e continuidade, as mudanças propostas sobre computação em nuvem reforçam um vetor central de risco: dependência de terceiros e exposição transfronteiriça. Ao exigir testes periódicos de continuidade e maior capacidade de supervisão sobre prestadores externos, o regulador deixa claro que terceirização não transfere responsabilidade. Na prática, isso demanda cláusulas contratuais robustas, direito de auditoria, evidências de resiliência, alinhamento a requisitos de localização e mecanismos de saída testados.
Esse ponto é particularmente importante para programas de gestão de risco de terceiros, que precisam ir além de questionários e controles declarativos. O ambiente moderno exige avaliação contínua da superfície de ataque do fornecedor, provas de restauração, simulações de indisponibilidade e integração entre risco cibernético e risco operacional. Sem isso, a cadeia de suprimentos digital torna-se o elo mais fraco do modelo de confiança.
As referências também destacam a preocupação do Banco Central com riscos de inteligência artificial, especialmente o data poisoning (é um ataque em que dados de treinamento de uma IA são adulterados com informação falsa ou maliciosa sendo o objetivo é fazer o modelo aprender errado e tomar decisões enviesadas, imprecisas ou inseguras, em resumo, corrompe-se a base de aprendizado para comprometer o comportamento da IA) e a confiabilidade dos dados usados por modelos. Esse é um avanço conceitual importante: segurança cibernética já não pode ser limitada a perímetro, identidade e endpoint; ela agora alcança integridade de dados, governança de modelos e validação de resultados. Para instituições financeiras, isso exige trilhas de auditoria, controle de origem dos dados, supervisão humana e testes específicos de abuso de modelos.
A leitura correta é que governança de IA, antifraude e cibersegurança convergem para um mesmo problema: confiança em decisões automatizadas e em ativos digitais críticos. Organizações que separarem esses temas em silos normativos tenderão a duplicar controles, perder visibilidade e reagir tarde a ameaças compostas. O caminho mais sólido é tratar o ecossistema como um programa único de resiliência digital.
Implicações práticas para executivos de segurança, governança e risco, o recado é objetivo: maturidade agora significa evidência, integração e teste. Não basta possuir políticas; é preciso demonstrar que elas são implementadas, monitoradas e revisadas em ciclos curtos. Não basta contratar ferramentas; é necessário medir eficácia operacional e impacto sobre risco residual.
Em síntese, o Banco Central está consolidando uma visão em que cibersegurança é componente de estabilidade institucional, e não despesa de TI. Para o setor financeiro, isso redefine prioridades de investimento, fortalece a atuação do conselho e eleva o padrão esperado de fornecedores e parceiros. Para profissionais experientes, o desafio não é apenas cumprir a norma, mas construir uma organização capaz de provar, continuamente, que resiste, responde e se recupera.
