Escrito por Leonardo Pinheiro
A cibersegurança no sistema financeiro brasileiro está passando por uma mudança estrutural e não se trata apenas de novos controles técnicos. O Banco Central deixou claro que a forma como as instituições enxergam segurança precisa evoluir. Não é mais suficiente tratar o tema como responsabilidade exclusiva da área de TI.
A partir das novas resoluções e diretrizes apresentadas ao mercado, a cibersegurança passa a ocupar um papel central na governança, na gestão de riscos e na própria sustentabilidade das operações financeiras.
Esse movimento não surgiu por acaso. A digitalização acelerada, impulsionada por iniciativas como o Pix e pela expansão de serviços em nuvem, ampliou significativamente a superfície de ataque das instituições. Ao mesmo tempo, o aumento da complexidade tecnológica elevou o impacto potencial de incidentes cibernéticos, tornando a segurança um fator crítico para a continuidade dos negócios e a confiança no sistema financeiro.
Diante desse cenário, o Banco Central redefiniu o papel da cibersegurança dentro das instituições.
Cibersegurança além da TI: uma mudança de mentalidade
Durante o Febraban Sec 2026, representantes do Banco Central reforçaram uma mensagem que já vinha sendo construída nas novas resoluções: a cibersegurança precisa sair do escopo puramente técnico e se tornar um tema institucional.
Na prática, isso significa que a segurança não pode mais ser tratada como uma função isolada dentro da TI. Ela precisa estar integrada à gestão de riscos, à governança corporativa e às decisões estratégicas da organização.
Esse reposicionamento muda completamente a forma como as instituições financeiras devem estruturar suas operações. A segurança deixa de ser apenas um conjunto de ferramentas e passa a ser um componente essencial da estratégia de negócio.
Essa mudança também se reflete na própria estrutura organizacional. A Instrução Normativa nº 9 do GSI estabelece que o responsável pela Segurança da Informação deve ocupar uma posição estratégica, com independência em relação à área de TI.
O objetivo é evitar conflitos de interesse e garantir que a gestão de riscos cibernéticos tenha autonomia suficiente para atuar de forma crítica e eficaz.
O novo marco regulatório: mais exigência, mais clareza
As Resoluções CMN nº 5.274 e BCB nº 538, publicadas no final de 2025, representam um avanço significativo na regulação de cibersegurança no Brasil. Mais do que atualizar normas anteriores, elas consolidam um novo padrão de maturidade exigido das instituições financeiras.
Essas resoluções transformam o que antes eram boas práticas em requisitos obrigatórios. Entre os principais pontos reforçados estão:
- Autenticação multifator;
- Criptografia de dados;
- Testes de invasão periódicos;
- Segmentação de redes;
- Gestão de certificados digitais;
- Monitoramento contínuo e rastreabilidade;
- Inteligência de ameaças (incluindo deep e dark web).
Além disso, a norma exige que esses controles não apenas existam, mas sejam continuamente avaliados, testados e documentados.
Na prática, isso significa que as instituições precisam ser capazes de demonstrar evidências concretas de que seus controles funcionam — não apenas declarar que eles foram implementados.
Da conformidade à execução: o verdadeiro desafio
Um dos principais desafios enfrentados pelas instituições financeiras está em transformar esses requisitos em operação real.
A regulação do Banco Central não deixa espaço para abordagens superficiais. Não basta ter políticas documentadas ou ferramentas implementadas. É necessário garantir que:
- Os controles estejam ativos e operacionais;
- As vulnerabilidades sejam identificadas e corrigidas;
- Os incidentes sejam detectados e respondidos rapidamente;
- Os processos sejam auditáveis e rastreáveis.
Esse é o ponto em que muitas organizações enfrentam dificuldades: a lacuna entre conformidade teórica e execução prática.
O próprio Banco Central tem sinalizado essa preocupação, destacando que ainda existe uma diferença relevante entre o avanço regulatório e o nível de maturidade das instituições.
Novos riscos: o impacto da inteligência artificial
Outro elemento que reforça a necessidade de uma abordagem mais estratégica é o crescimento dos riscos associados à inteligência artificial.
O Banco Central já apontou preocupações específicas com técnicas como o data poisoning, em que dados são manipulados para comprometer modelos de IA.
Esse tipo de ameaça introduz uma nova camada de complexidade, exigindo que as instituições não apenas implementem controles tradicionais, mas também desenvolvam capacidade crítica para validar dados e interpretar resultados de sistemas automatizados.
Isso reforça ainda mais a necessidade de tratar cibersegurança como um tema transversal, que envolve tecnologia, processos e tomada de decisão.
Cibersegurança como pilar de resiliência institucional
O movimento do Banco Central aponta para um conceito central: cibersegurança como pilar de resiliência.
As novas iniciativas regulatórias não tratam apenas de proteção contra ataques. Elas estão diretamente ligadas à capacidade das instituições de manter operações críticas funcionando, mesmo diante de incidentes.
O próprio regulador já trabalha em um conjunto de iniciativas que integram cibersegurança, prevenção a fraudes e governança de IA como parte de um mesmo ecossistema de proteção.
Isso reforça uma visão mais ampla de que a segurança não é apenas defesa, mas sustentação da continuidade operacional.
O que muda na prática para as instituições financeiras?
Com o prazo de adequação encerrado em março de 2026, as instituições não estão mais em fase de planejamento — estão em fase de execução.
Na prática, isso significa que as organizações precisam responder a perguntas fundamentais:
- Os controles estão implementados ou apenas documentados?
- Existe monitoramento contínuo e capacidade de resposta?
- As vulnerabilidades são tratadas de forma estruturada?
- Há evidência suficiente para auditorias regulatórias?
A partir desse novo cenário, a maturidade em cibersegurança deixa de ser diferencial competitivo e passa a ser requisito mínimo para operar no sistema financeiro.
Como avançar na adequação às normas do Banco Central
Diante desse novo contexto, a adequação às normas do Banco Central exige uma abordagem estruturada e contínua.
Mais do que implementar controles isolados, é necessário construir uma operação integrada que conecte:
- Monitoramento e resposta a incidentes;
- Gestão contínua de vulnerabilidades;
- Inteligência de ameaças;
- Segurança em nuvem e desenvolvimento;
- Governança e evidência regulatória.
É justamente nesse ponto que serviços especializados fazem diferença.
A Clavis atua apoiando instituições financeiras em toda a jornada de adequação às normas do Banco Central, desde o diagnóstico de lacunas até a implementação e sustentação dos controles exigidos. Isso inclui não apenas a execução técnica, mas também a organização das evidências necessárias para auditorias e inspeções.
Mais do que atender à regulação, o objetivo é estruturar uma operação capaz de sustentar a segurança no dia a dia — de forma contínua, mensurável e alinhada ao negócio.
Conclusão
O Banco Central deixou claro: cibersegurança não é mais um tema técnico. É uma prioridade estratégica.
As novas resoluções não apenas aumentam o nível de exigência — elas redefinem o papel da segurança dentro das instituições financeiras. O foco agora está na integração com a governança, na independência da gestão de riscos e na capacidade de demonstrar controle e maturidade operacional.
No fim, a pergunta que fica não é se a sua instituição conhece as normas. Mas se ela está preparada para operar segurança no nível que o regulador agora exige.
