BC endurece regras de cibersegurança e muda o padrão de risco no sistema financeiro

Banco Central reforça regras de cibersegurança e altera padrão de risco financeiro

Em 27 de fevereiro de 2026, o Banco Central do Brasil implementou a Resolução nº 538 de 2025, que aprimora a política de segurança cibernética das instituições financeiras autorizadas. Essa medida visa fortalecer o arcabouço regulatório em um contexto de crescente digitalização e uso do Pix, onde a resiliência tecnológica agora se entrelaça com a estabilidade econômica.

A norma, que foi aprovada em conjunto com o Conselho Monetário Nacional, representa uma mudança prudencial significativa. Com isso, o risco cibernético é reconhecido como um fator que impacta a estabilidade financeira.

Desde a promulgação da Lei Geral de Proteção de Dados em 2018, o Brasil tem avançado na responsabilização em relação aos dados pessoais. Inicialmente, o foco estava em estruturas e políticas, mas a Resolução 538 traz um novo enfoque, exigindo comprovação técnica contínua.

Entre as principais mudanças, o Banco Central estabelece que as instituições devem realizar testes anuais de intrusão com profissionais independentes, mantendo documentação e planos de ação por um período de cinco anos. Além disso, a autenticação multifatorial passa a ser obrigatória nas comunicações com a Rede do Sistema Financeiro Nacional.

A norma também expande os requisitos de comunicação eletrônica, especialmente nos sistemas do Pix e do Sistema de Transferência de Reservas, exigindo isolamento lógico de ambientes e restrições de acesso às chaves privadas.

Essa tendência de maior rigor regulatório é observada em outras jurisdições, onde a exigência de evidências técnicas de resiliência está se tornando comum. Com isso, o Brasil se alinha a um padrão internacional de supervisão cibernética no setor financeiro.

Em fevereiro de 2026, a divulgação de chaves Pix de uma instituição financeira indicou um novo nível de transparência institucional, onde a forma de comunicar incidentes se torna parte crucial da estabilidade.

A evolução em cibersegurança revela que a maturidade digital agora é percebida como um indicador de robustez institucional. O custo da falta de conformidade envolve sanções, medidas prudenciais e, mais criticamente, uma erosão da confiança. No sistema financeiro digital, a confiança é considerada infraestrutura crítica.

Com o prazo de adequação até 1º de março de 2026 se aproximando, o mercado passará a notar quais instituições internalizaram o risco cibernético como uma variável estratégica e quais ainda o veem como uma obrigação operacional.

A diferença entre essas abordagens não reside apenas nas tecnologias adotadas, mas também na capacidade de demonstrar resiliência sob análise rigorosa.

A Resolução 538 simboliza uma transição importante: a cibersegurança tornou-se parte integrante do valor do sistema financeiro. As instituições que entendem essa dinâmica não apenas minimizam vulnerabilidades, mas também preservam sua legitimidade em um ambiente onde estabilidade e confiança são indissociáveis.

Tiago Guimarães é especialista em riscos cibernéticos, privacidade e governança digital no setor financeiro, atuando em programas de proteção de informações e compliance em organizações de alta complexidade. Como colunista do InfoMoney, ele analisa os impactos da transformação digital e das ameaças cibernéticas, traduzindo questões técnicas em reflexões estratégicas.