19/12/2025

O Banco Central do Brasil (BCB) e o Conselho Monetário Nacional (CMN) aprovaram normativos que tratam da política de segurança cibernética e dos requisitos para contratação de serviços de processamento e armazenamento de dados e computação em nuvem pelas instituições autorizadas a funcionar pelo BCB.

A iniciativa busca uniformizar o ambiente regulatório e fortalecer a segurança das infraestruturas de comunicação de dados e dos sistemas de pagamentos do Sistema Financeiro Nacional (SFN) e do Sistema de Pagamentos Brasileiro (SPB). O aprimoramento ocorre em resposta à crescente digitalização do setor e à implantação do Pix, que ampliou o tráfego na Rede do Sistema Financeiro Nacional (RSFN).

Entre as principais mudanças aprovadas, destacam-se:

• ​Incorporação de requisitos mínimos adicionais à política de segurança cibernética das instituições, como gestão de certificados digitais, integração segura de sistemas, ações de inteligência cibernética, rastreabilidade de operações, testes de intrusão, controles de acesso, proteção de rede e aplicação regular de correções;
• Ampliação do escopo dos controles de segurança para o desenvolvimento de sistemas de informação e adoção de novas tecnologias, incluindo sistemas adquiridos ou desenvolvidos por terceiros;
• Reforço dos requisitos de segurança para comunicação eletrônica de dados com a RSFN, especialmente nos ambientes Pix e Sistema de Transferência de Reservas (STR), como autenticação multifatorial, isolamento de ambientes, monitoramento de credenciais e vedação de acesso de terceiros às chaves privadas das instituições;
• Exigência de realização anual de testes de intrusão por profissionais independentes, com documentação dos resultados e planos de ação para correção de vulnerabilidades, mantidos à disposição do Banco Central por cinco anos;
• ​Qualificação do serviço de comunicação eletrônica de dados na RSFN como serviço relevante para fins de contratação, sujeito a padrões rigorosos de gestão de riscos e supervisão pelo BCB.

​Essas medidas fazem parte de uma agenda mais ampla de revisão regulatória voltada à segurança e resiliência cibernética, alinhada às melhores práticas internacionais. O objetivo é elevar o nível de proteção das infraestruturas, mitigar riscos e garantir um ambiente seguro para a inovação digital.

O prazo para adequação das instituições às novas regras será até 1º de março de 2026.

Clique aqui​ para ler a Resolução BCB 538/2025.

Clique aqui​open_in_new para ler a Resolução CMN 5.274/2025.