Novos controles de segurança cibernética do Banco Central: Resoluções CMN 5.274/2025 e BCB 538/2025

O Conselho Monetário Nacional e o Banco Central do Brasil publicaram, em 18 de dezembro de 2024, as Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, que alteram substancialmente o marco regulatório de segurança cibernética aplicável às instituições supervisionadas. As normas revisam a Resolução CMN 4.893/2021 e BCB 85/2021, mas desta vez com um recado claro: não bastam políticas formais, o regulador espera evidências técnicas verificáveis de que os controles estão implementados e funcionando.

Por que o regulador endureceu as regras

A consolidação do Pix como infraestrutura crítica, o crescimento do volume transacional em tempo real, a dependência de integrações via APIs com terceiros e o aumento de ataques sofisticados criaram um cenário de risco sistêmico que exige resposta proporcional. As resoluções deixam explícito que segurança cibernética passou a ser tratada como elemento de estabilidade financeira, não apenas como tema operacional.

Principais mudanças introduzidas

1. Novos controles obrigatórios

A Resolução CMN 5.274/2025 amplia o conjunto mínimo de controles que devem estar implementados, operacionais e documentados. Entre as novidades mais relevantes:

Prevenção de vazamentos de informações (inciso IV): As instituições devem implementar mecanismos específicos para prevenir exfiltração de dados sensíveis, incluindo controles sobre transferências de arquivos, uso de dispositivos removíveis e comunicações eletrônicas.

Inteligência no ambiente cibernético (inciso XIV): Passa a ser obrigatório o monitoramento ativo de informações de interesse da instituição na internet, Deep Web, Dark Web e grupos privados de comunicação. Isso significa investimento em ferramentas de Cyber Threat Intelligence (CTI) e capacidade técnica para antecipar ameaças, não apenas reagir a incidentes.

Rastreabilidade de transações (§ 7º): Os mecanismos de rastreabilidade devem abranger trilhas de auditoria do processamento fim a fim dos dados, incluindo definição e geração de logs que possibilitem identificar falhas de processamento ou comportamentos atípicos. A norma também estabelece definição de tempos de retenção de acordo com o tipo de processamento.

2. Segurança no desenvolvimento e em terceirizações

A resolução introduz o § 3º, que determina que os controles de criptografia devem ser aplicados no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias. O § 6º complementa essa exigência ao determinar que a instituição deve verificar esses requisitos também em sistemas adquiridos ou desenvolvidos por empresas prestadoras de serviços a terceiros, quando executados com recursos computacionais da própria instituição.

Isso impacta diretamente a relação com fornecedores de software e exige que as áreas de compras, jurídico e segurança trabalhem de forma integrada na avaliação de soluções de mercado.

3. Proteção de ambientes críticos

Para ambientes relacionados ao Pix, STR e RSFN, a BCB 538/2025 reforça requisitos como autenticação multifator, isolamento físico e lógico, proteção rigorosa de chaves criptográficas e proibição expressa de que empresas prestadoras de serviços tenham acesso às chaves privadas dos certificados digitais. Essas medidas impactam diretamente arquiteturas de infraestrutura e modelos de terceirização.

4. Testes de intrusão independentes obrigatórios

Os testes de intrusão passam a ser exigidos anualmente, realizados por equipes independentes. Devem avaliar ambientes relevantes, identificar vulnerabilidades exploráveis, gerar relatórios formais com planos de ação e evidências de tratamento. Os resultados devem ser apresentados à diretoria e arquivados pelo período mínimo definido em norma.

Quem precisa se adequar e em quanto tempo

As resoluções aplicam-se a instituições financeiras, instituições de pagamento, corretoras e distribuidoras de valores mobiliários, corretoras de câmbio e outras entidades autorizadas a operar no Sistema Financeiro Nacional. O prazo final para adequação é 1º de março de 2026, um cronograma curto que exige priorização e execução ágil.

A ausência de conformidade pode resultar em apontamentos em processos de supervisão, demandas formais de ajustes e impactos em avaliações de risco institucional.

O desafio da adequação técnica

A adequação exige combinação de avaliação técnica profunda, execução especializada e geração de evidências auditáveis. Para instituições com ambientes complexos, múltiplas integrações e dependência de terceiros, o desafio se amplifica. É necessário mapear todos os pontos críticos, priorizar investimentos, coordenar equipes multidisciplinares e garantir que cada controle esteja demonstravelmente funcional.

Diante do curto prazo e da complexidade técnica, muitas instituições estão buscando suporte especializado para diagnósticos iniciais, testes obrigatórios, auditoria de controles e estruturação de evidências. A escolha de parceiros com experiência em ambientes regulados, metodologias reconhecidas e capacidade de produzir documentação adequada ao escrutínio regulatório tornou-se fator crítico de sucesso.

Como a BrownPipe pode apoiar sua empresa

A BrownPipe apoia instituições financeiras e de pagamento exatamente nos pontos exigidos pelas resoluções:

• Pentest independente, conforme requisito regulatório;
• Auditoria técnica de segurança, focada nos controles previstos nas normas;
• Campanhas de phishing, como apoio à redução de risco operacional;
• Apoio técnico à LGPD, integrado à segurança da informação;
• Uso de IA aplicada à segurança, para ambientes críticos.

Conte com o apoio técnico da BrownPipe para estruturar, avaliar e evidenciar controles de segurança cibernética em linha com as novas exigências do Banco Central.