A segurança cibernética no sistema financeiro nunca foi tão crítica. Com a consolidação do Pix e a digitalização acelerada dos serviços, as ameaças evoluíram, exigindo uma resposta à altura do regulador.
Foi nesse contexto que o Banco Central e o Conselho Monetário Nacional publicaram as Resoluções CMN 5.274 e BCB 538.
Mais do que uma simples atualização normativa, essas resoluções transformam o que antes eram "melhores práticas" em requisitos obrigatórios de arquitetura e governança.
O novo marco regulatório aprofunda as exigências de segurança com foco em controles técnicos rigorosos, testes de intrusão independentes, gestão de terceiros e regras específicas para o uso de serviços em nuvem.
O prazo final para adequação é 1º de março de 2026, exigindo das instituições um salto imediato em maturidade técnica e capacidade operacional.
Ao longo deste conteúdo, detalharemos o que muda na prática e como preparar sua instituição para atender ao novo padrão.
O que são as Resoluções CMN 5.274 e BCB 538?
Publicadas em 18 de dezembro de 2025, essas normas representam a atualização da política de segurança cibernética do Sistema Financeiro Nacional.
Elas substituem e aprofundam as diretrizes de 2021 (antigas Resoluções 4.893 e 85), criando um padrão único de segurança para todo o ecossistema.
O objetivo é alinhar o nível de exigência técnica: agora, tanto grandes bancos quanto fintechs e demais participantes do Pix devem seguir os mesmos protocolos rigorosos de proteção.
Quem regula quem? (Normas Espelho)
Embora o conteúdo técnico seja idêntico, a aplicação jurídica segue a divisão do regulador:
- Resolução CMN nº 5.274: foca em Bancos e demais Instituições Financeiras.
- Resolução BCB nº 538: foca em Instituições de Pagamento (IPs), corretoras e distribuidoras.
Quando entram em vigor?
As normas entraram em vigor na data de publicação (dez/2025), mas o regulador estabeleceu um prazo limite para adequação até 1º de março de 2026.
Até lá, as instituições devem concluir as mudanças estruturais para evitar sanções.
Quais são as mudanças estruturais exigidas?
A nova regulação deixa de ser orientativa para ser prescritiva. Entre os controles que passam a ser obrigatórios e auditáveis, destacam-se:
- Controles mínimos de segurança: implementação de MFA para acessos externos, criptografia robusta e mecanismos antimalware;
- Rastreabilidade: geração de logs de auditoria fim a fim das transações;
- Testes de Intrusão (Pentests): obrigatoriedade de testes anuais realizados por equipes independentes;
- Gestão de Vulnerabilidades: correção tempestiva de falhas e varreduras periódicas de rede;
- Segurança de APIs e Integrações: requisitos específicos para interfaces eletrônicas e hardening (configuração segura) de ativos;
- Inteligência Cibernética: monitoramento proativo de ameaças na internet, incluindo Deep Web e Dark Web.
Resoluções BCB 538 e CMN 5.274: o compromisso da Matera com a sua conformidade
A evolução regulatória trazida pelas novas resoluções reforça um ponto crítico: a segurança cibernética deixou de ser apenas uma prática recomendada para se tornar um requisito estrutural de operação.
Para a Matera, a segurança cibernética é um compromisso inegociável. Por isso, investimos pesado na evolução de nossas plataformas, independentemente da publicação de novas normas.
Nosso objetivo é garantir que a tecnologia nunca seja um gargalo, mas sim o alicerce robusto que viabiliza a sua conformidade e blinda a sua operação.
Na prática, isso significa apoiar nossos clientes com entregas técnicas, focadas em:
- Arquiteturas compatíveis com ambientes críticos e isolamento de infraestrutura;
- Rastreabilidade de eventos e transações para fins regulatórios;
- Gestão segura de chaves criptográficas e certificados digitais;
- Controles de acesso e autenticação alinhados às exigências mais recentes;
- Monitoramento e observabilidade preparados para auditorias e supervisão.
Se sua instituição já iniciou a jornada de adequação ou ainda está avaliando os impactos das novas resoluções, vale entender como a arquitetura atual pode evoluir para atender às exigências de forma sustentável.
Principais mudanças em relação às normas anteriores (BCB 85 e CMN 4.893)
Se as normas anteriores (BCB 85 e CMN 4.893) estabeleceram diretrizes gerais, as novas Resoluções 538 e 5.274 tornam a segurança cibernética um requisito técnico verificável. O regulador transformou "o que" fazer em "como" fazer.
Confira o comparativo direto.
Em resumo, as resoluções encerram a era da interpretação flexível. O regulador estabelece uma simetria técnica absoluta: independentemente da licença de operação, seja uma fintech ou um banco tradicional, a robustez da defesa cibernética deve ser idêntica e auditável.
Quais instituições serão impactadas pelas Resoluções
As resoluções atingem praticamente todo o Sistema Financeiro Nacional, incluindo bancos, instituições de pagamento e intermediários do mercado de capitais.
Quais os impactos práticos para essas instituições?
Com a publicação das novas normas, o que antes era tratado como "melhores práticas" passa a constituir obrigação regulatória sujeita à fiscalização.
Isso impõe às instituições a necessidade de investir de forma estruturada em arquitetura tecnológica, implementar controles internos auditáveis e fortalecer a gestão de fornecedores.
A simples "contratação" de tecnologia não isenta mais a instituição da responsabilidade sobre a segurança do código ou da infraestrutura
O que muda na prática para tecnologia
Para as equipes de TI e Segurança, os requisitos se traduzem em quatro mandamentos claros:
- Ambiente com acesso ao Pix e STR devem ter estrutura separada das demais aplicações;
- Gestão de chaves não pode ser terceirizada;
- Logs passam a ser evidência regulatória;
- Monitoramento vira requisito formal.
Resoluções BCB nº 538 e CMN nº 5.274: adequação em 5 pilares fundamentais
As novas resoluções marcam o fim da conformidade baseada apenas em políticas documentais. Agora, a segurança precisa ser tecnicamente comprovável.
O regulador exige evidências de que os controles operam eficazmente em tempo real, obrigando as instituições a saírem da teoria para uma gestão de riscos baseada em dados e testes contínuos.
Para facilitar essa jornada, organizamos os principais requisitos em cinco pilares estratégicos que traduzem as obrigações regulatórias em ações práticas.
Pilar 1 — Governança e Responsabilidade Executiva
Segurança deixa de ser apenas um tema técnico e passa a ser responsabilidade direta da alta administração.
As resoluções reforçam a necessidade de uma estrutura clara de governança, com papéis definidos e decisões estratégicas alinhadas ao risco do negócio.
Na prática, isso significa:
- Política de segurança cibernética alinhada ao perfil de risco da instituição;
- Designação formal de responsável pela segurança;
- Planos estruturados de resposta a incidentes;
- Relatórios periódicos mais robustos para acompanhamento regulatório.
Mais do que documentos formais, o regulador passa a exigir evidências de que a segurança faz parte da estratégia corporativa.
Pilar 2 — Controles Técnicos e Proteção da Infraestrutura
Controles genéricos deixam de ser suficientes: as novas regras tornam os requisitos técnicos mais prescritivos e verificáveis.
Entre os principais pontos de atenção:
- Autenticação multifatorial (MFA) obrigatória para acessos críticos;
- Gestão rigorosa de certificados digitais e criptografia;
- Hardening e aplicação contínua de patches de segurança;
- Ferramentas para prevenção de malware e vazamento de dados.
O foco não está apenas na proteção do perímetro, mas na redução efetiva da superfície de ataque.
Pilar 3 — Monitoramento Contínuo e Inteligência Cibernética
Visibilidade operacional passa a ser um requisito regulatório.
As resoluções exigem que as instituições monitorem seus ambientes de forma ativa, permitindo a identificação precoce de ameaças e comportamentos anômalos.
Isso inclui:
- Logs fim a fim com rastreabilidade completa das transações;
- Monitoramento de conexões atípicas e acessos privilegiados;
- Retenção segura de registros históricos;
- Inteligência cibernética com monitoramento de Deep e Dark Web.
A capacidade de detectar riscos antes que se tornem incidentes passa a ser um diferencial competitivo.
Pilar 4 — Gestão de Vulnerabilidades e Resiliência Operacional
A segurança deixa de ser apenas preventiva e passa a ser testada continuamente.
As novas resoluções tornam mais rigorosos os processos de avaliação de vulnerabilidades e resposta a incidentes.
Principais exigências:
- Testes de intrusão periódicos com equipes independentes;
- Varreduras regulares de rede e identificação de ativos não autorizados;
- Planos formais de correção de vulnerabilidades;
- Estratégias de continuidade de negócios para cenários de crise.
O objetivo é garantir que a infraestrutura permaneça resiliente mesmo diante de ataques sofisticados.
Pilar 5 — Infraestruturas Críticas, Nuvem e Gestão de Chaves
Arquitetura tecnológica passa a ser parte central da conformidade regulatória.
Ambientes críticos, especialmente relacionados ao Pix e à RSFN, recebem exigências estruturais mais rígidas.
Entre os principais pontos:
- Isolamento físico e lógico em ambientes de nuvem;
- Restrição de acesso de terceiros às chaves privadas;
- Uso de cofres digitais ou HSM para proteção criptográfica;
- Validação de integridade das mensagens antes da assinatura digital.
Essas medidas elevam o padrão de segurança exigido para operações financeiras críticas.
Conclusão
As Resoluções 538 e 5.274 consolidam uma mudança de postura do regulador: segurança cibernética passa a ser critério estrutural de autorização e continuidade operacional. Não se trata mais de uma diretriz de TI, mas de um requisito de credibilidade institucional.
Ao exigir rastreabilidade ampliada, controles técnicos mais prescritivos, testes independentes e segregação de ambientes críticos, eleva-se o padrão de maturidade esperado das instituições.
Nesse contexto, adequação é posicionamento estratégico. Revisar governança, arquitetura tecnológica e processos de controle deixa de ser uma reação regulatória e passa a ser uma decisão de longo prazo sobre resiliência, escalabilidade e sustentabilidade do negócio.