BC endurece regras de cibersegurança e muda o padrão de risco no sistema financeiro |
Com a edição da Resolução nº 538 de 2025, o Banco Central do Brasil promoveu um aprimoramento relevante na política de segurança cibernética das instituições autorizadas, fortalecendo o arcabouço regulatório do sistema financeiro. Em um ambiente impulsionado pelo Pix e pela digitalização em escala, a resiliência tecnológica deixou de ser atributo exclusivamente técnico e passou a integrar a lógica econômica da estabilidade institucional.
Inscreva-se gratuitamente na InfoMoney Premium, a newsletter que cabe no seu tempo e faz diferença no seu dia
A norma, aprovada em conjunto com o Conselho Monetário Nacional, consolida uma inflexão prudencial.
A Resolução 538 não é apenas uma atualização regulatória. É a formalização de que risco cibernético passou a ser risco de estabilidade financeira.
Continua depois da publicidade
De 2018 à prova recorrente
Desde 2018, com a promulgação da Lei Geral de Proteção de Dados, o Brasil iniciou uma jornada de responsabilização formal sobre dados pessoais. O foco inicial era estrutural: políticas, mapeamento, governança documental.
A Resolução 538 representa um estágio mais avançado dessa trajetória. Sai o modelo baseado na existência de políticas. Entra o modelo baseado em comprovação técnica recorrente.
Entre as mudanças destacadas pelo Banco Central estão a exigência de testes anuais de intrusão por profissionais independentes, com documentação e planos de ação mantidos por cinco anos, além do reforço de autenticação multifatorial na comunicação com a Rede do Sistema Financeiro Nacional.
Continua depois da publicidade
Não basta afirmar controle. É preciso demonstrar capacidade de resistência.
Infraestruturas críticas e responsabilidade ampliada
A norma reforça requisitos na comunicação eletrônica com a Rede do Sistema Financeiro Nacional, especialmente nos ambientes do Pix e do Sistema de Transferência de Reservas, exigindo autenticação multifatorial, isolamento lógico de ambientes e vedação de acesso de terceiros às chaves privadas.
Além disso, amplia o escopo dos controles para sistemas desenvolvidos ou adquiridos de terceiros. O risco torna-se estruturalmente interconectado.
Continua depois da publicidade
Movimentos semelhantes vêm sendo observados em outras jurisdições relevantes, onde reguladores passaram a exigir evidências técnicas periódicas de resiliência. O Brasil, ao consolidar essa agenda, aproxima-se de um padrão internacional de supervisão cibernética no setor financeiro.
O teste público da maturidade
Em fevereiro de 2026, a divulgação pública da exposição de chaves Pix de uma instituição financeira — registrada pela própria autarquia — evidenciou um novo padrão de transparência institucional.
Em sistemas altamente digitalizados, a forma como o incidente é comunicado tornou-se parte da própria arquitetura de estabilidade.
Continua depois da publicidade
A gestão do evento foi tão relevante quanto o evento.
A economia da resiliência digital
Essa evolução revela uma mudança estrutural: maturidade cibernética passou a integrar a percepção de robustez institucional.
O custo da inconformidade envolve múltiplas camadas — sanções administrativas, medidas prudenciais, volatilidade reputacional e aumento da percepção de risco. Mas o impacto mais profundo é invisível: erosão de confiança.
Continua depois da publicidade
No sistema financeiro digital, confiança não é um ativo intangível. É infraestrutura crítica.
À medida que o prazo de adequação até 1º de março de 2026 se aproxima, o mercado tende a observar quem internalizou o risco cibernético como variável estratégica e quem ainda o trata como obrigação operacional.
A diferença não estará apenas na tecnologia implementada, mas na capacidade de provar resiliência sob escrutínio.
A Resolução 538 consolida uma transição silenciosa, porém decisiva: a cibersegurança deixou de ser item de conformidade e passou a integrar a arquitetura de valor do sistema financeiro.
Instituições que compreendem essa dinâmica não apenas reduzem vulnerabilidades. Preservam legitimidade em um ambiente onde estabilidade e confiança se tornaram inseparáveis.