Resoluções passam a exigir controles técnicos verificáveis, rastreabilidade e evidências auditáveis de segurança no Sistema Financeiro Nacional
A entrada em vigor das Resoluções CMN nº 5.274/2025 e BCB nº 538/2025 elevou o nível de exigência em cibersegurança para fintechs, instituições de pagamento e demais empresas reguladas pelo Banco Central. As novas regras transformam controles antes tratados como boas práticas em requisitos técnicos verificáveis, com foco em autenticação forte, prevenção e detecção de intrusões, rastreabilidade, testes de intrusão, proteção contra vazamento de dados e inteligência cibernética.
Publicadas em dezembro de 2025, as normas encerraram o prazo de adequação em 1º de março de 2026 e estabelecem um conjunto mínimo de controles para instituições conectadas ao Sistema Financeiro Nacional, incluindo operações ligadas ao Pix, STR e RSFN. Entre os controles previstos estão autenticação, criptografia, prevenção contra softwares maliciosos, gestão de vulnerabilidades, hardening, proteção de APIs, backup, gestão de certificados digitais, controle de acessos e monitoramento de ameaças em internet, deep web, dark web e grupos privados. “O principal impacto das novas regras é que segurança deixa de ser apenas documentação e passa a exigir evidência operacional. Não basta mais dizer que existe controle de acesso, backup ou monitoramento. A instituição precisa demonstrar que esses controles funcionam, são testados, geram rastreabilidade e possuem responsáveis definidos”, afirma Luiz Claudio, CEO e fundador da LC SEC.
Segundo o executivo, fintechs menores tendem a enfrentar maior pressão porque muitas ainda operam com estruturas enxutas e baixa capacidade de comprovação técnica. “Em diagnósticos de segurança, é comum encontrar empresas com boas políticas formais, mas sem capacidade consistente de demonstrar logs, trilhas de auditoria, evidências de mitigação ou recorrência dos processos. O problema mais comum não é ausência total de segurança; é ausência de evidência”, explica.
As normas também reforçam a obrigatoriedade de testes de intrusão anuais conduzidos por profissionais independentes, com documentação de vulnerabilidades encontradas, criticidade, responsáveis e planos de correção. “O pentest deixa de ser uma ação isolada e passa a fazer parte do ciclo contínuo de governança. A fintech precisa demonstrar quando testou, quais falhas encontrou, quem corrigiu e quais evidências comprovam a mitigação”, afirma Luiz Claudio.
Outro ponto destacado pelas resoluções é a inteligência cibernética. As instituições passam a ter obrigação de monitorar informações relacionadas à própria operação em ambientes como internet aberta, deep web, dark web e grupos privados. “Threat intelligence não pode virar apenas um relatório para auditoria. O objetivo é antecipar risco, identificar credenciais vazadas, exposição de fornecedores, problemas em APIs e ameaças que possam impactar a operação antes que o incidente aconteça”, diz.
O cenário regulatório acompanha o aumento da complexidade dos ataques. O Verizon DBIR 2025 aponta que o envolvimento de terceiros em violações dobrou para 30%, enquanto o abuso de credenciais aparece em 22% dos vetores iniciais de ataque. Já o IBM Cost of a Data Breach Report 2025 indica custo médio global de US$ 4,4 milhões por violação de dados. Para Luiz Claudio, a mudança marca o início de uma nova fase para o setor financeiro digital. “A fintech pode ter política, ferramenta e fornecedor. Mas, se não consegue provar o que aconteceu em um incidente, quem acessou determinado sistema ou qual evidência sustenta uma correção, ela ainda não tem governança de segurança; ela tem apenas intenção de segurança”, conclui.
Sobre a LC SEC
A LC SEC é uma consultoria especializada em segurança da informação e compliance, com atuação no Brasil e na Europa há mais de 10 anos. A empresa já executou mais de 150 projetos em cibersegurança e adequação a normas internacionais, incluindo ISO 27001, ISO 42001, SOC2, PCI DSS, NIST, LGPD, GDPR e DORA. Em 2025, ampliou seu portfólio com soluções inovadoras de Threat Intelligence baseadas em IA e auditorias internas.
foto: Freepik
