As instituições financeiras e de pagamento conectadas ao Sistema Financeiro Nacional começaram o mês de março sob um novo patamar de exigência em cibersegurança. Entraram em vigor em 1º de março de 2026 as Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, publicadas em dezembro do ano passado, que estabelecem um conjunto mínimo de controles técnicos verificáveis para fintechs, instituições de pagamento, bancos e demais empresas reguladas pelo Banco Central.
As normas abrangem operações ligadas ao Pix, ao Sistema de Transferência de Reservas (STR) e ao Sistema de Pagamentos Brasileiro (RSFN). Entre os controles agora obrigatórios estão autenticação forte, criptografia, prevenção contra softwares maliciosos, gestão de vulnerabilidades, hardening (endurecimento de sistemas), proteção de APIs, backup, gestão de certificados digitais, controle de acessos e monitoramento de ameaças em internet, deep web, dark web e grupos privados.
O principal impacto das novas regras, segundo especialistas, é a exigência de evidência operacional. Políticas formais e boas práticas documentadas deixam de ser suficientes. As instituições precisam demonstrar, por meio de logs, trilhas de auditoria e registros recorrentes, que os controles funcionam, são testados periodicamente e possuem responsáveis claros.
Fintechs menores tendem a sentir maior pressão, segundo Luiz Claudio, CEO e fundador da consultoria LC SEC. Em diagnósticos de segurança, afirma o executivo, é comum encontrar empresas com políticas bem elaboradas, mas sem capacidade consistente de comprovar evidências de mitigação ou recorrência dos processos. O problema mais frequente não é a ausência total de segurança, mas a ausência de evidência.
As resoluções também tornam obrigatória a realização de testes de intrusão (pentest) anuais, conduzidos por profissionais independentes. As instituições devem documentar as vulnerabilidades encontradas, sua criticidade, os responsáveis pela correção e os respectivos planos de mitigação. O pentest deixa de ser uma ação isolada e passa a integrar o ciclo contínuo de governança.
Outro pilar das novas normas é a inteligência cibernética. As empresas reguladas precisam monitorar informações relacionadas à própria operação em ambientes como internet aberta, deep web, dark web e grupos privados. O objetivo é antecipar riscos, identificar credenciais vazadas, exposição de fornecedores, problemas em APIs e ameaças antes que o incidente ocorra.
O endurecimento da regulação acompanha a evolução do cenário de ameaças. Dados do Verizon DBIR 2025 indicam que o envolvimento de terceiros em violações de dados dobrou, alcançando 30% dos casos, enquanto o abuso de credenciais responde por 22% dos vetores iniciais de ataque. O relatório IBM Cost of a Data Breach Report 2025 aponta custo médio global de US$ 4,4 milhões por violação de dados.
Para Luiz Claudio, a mudança marca o início de uma nova fase para o setor financeiro digital. Uma fintech pode dispor de política, ferramenta e fornecedor, mas, se não consegue provar o que aconteceu em um incidente, quem acessou determinado sistema ou qual evidência sustenta uma correção, ela ainda não tem governança de segurança, apenas intenção de segurança.
A LC SEC, consultoria especializada em segurança da informação e compliance com atuação no Brasil e na Europa há mais de dez anos, já executou mais de 150 projetos em cibersegurança e adequação a normas como ISO 27001, ISO 42001, SOC2, PCI DSS, NIST, LGPD, GDPR e DORA. Em 2025, a empresa ampliou seu portfólio com soluções de Threat Intelligence baseadas em inteligência artificial e auditorias internas.
Leia outras notícias em recordnewsma.com. Siga a Record News MA no Instagram, curta nossa página no Facebook e se inscreva em nosso canal no Youtube. Envie informações e denúncias através do nosso WhatsApp (98) 99100-8186.
