Resoluções BCB 538/2025 e CMN 5.274/2025: O Que Muda na Prática para Bancos e Fintechs com Estrutura de Segurança Madura
Tempo de leitura: 8 minutos
Se sua instituição já possui uma estrutura robusta de segurança cibernética, você pode estar se perguntando: “Mais uma regulação? O que isso muda para quem já faz o dever de casa?”
A resposta curta: muda bastante — mas não necessariamente no sentido de “começar do zero”. A Resolução BCB nº 538/2025, publicada em 18 de dezembro junto com a Resolução CMN nº 5.274/2025, representa uma mudança de paradigma na forma como o Banco Central aborda a segurança cibernética. O modelo deixa de ser baseado em princípios gerais e passa a ser prescritivo, com exigências técnicas específicas e pouca margem para interpretação.
Para instituições com maturidade elevada, o desafio não é implementar controles que não existem — é adequar, documentar e evidenciar o que já fazem, garantindo conformidade auditável até 1º de março de 2026.
Neste artigo, analisamos as principais mudanças e seus impactos práticos para bancos e fintechs que já investem em cibersegurança.
Por Que o Banco Central Endureceu as Regras Agora?
A regulação anterior — a Resolução CMN nº 4.893/2021 — estabelecia diretrizes gerais para políticas de segurança cibernética. Funcionava bem como framework de referência, mas deixava espaço considerável para que cada instituição definisse seus próprios controles.
O problema? Esse modelo mostrou limitações diante de dois fatores:
A explosão do Pix: com mais de 160 milhões de usuários e trilhões de reais transacionados, o Pix ampliou significativamente o tráfego na Rede do Sistema Financeiro Nacional (RSFN) — e, consequentemente, a superfície de ataque.
Incidentes recentes: embora o BC não detalhe publicamente, as novas regras foram publicadas em um contexto de crescente preocupação com fraudes sofisticadas e potencial envolvimento de organizações criminosas explorando vulnerabilidades de instituições menos preparadas.
A resposta do regulador foi clara: uniformizar o ambiente regulatório e elevar o piso de segurança para todos os participantes do sistema.
O Que Realmente Mudou: De Princípios para Prescrições
A diferença fundamental entre o modelo anterior e o atual pode ser resumida assim:
Vamos detalhar os três pilares mais impactantes.
1. Isolamento Físico e Lógico dos Ambientes Pix e STR
Esta é provavelmente a mudança mais sensível para a arquitetura de sistemas. A nova regulação exige que os ambientes do Pix e do Sistema de Transferência de Reservas (STR) sejam isolados — tanto física quanto logicamente — do restante da infraestrutura.
O que isso significa na prática:
Segregação de redes e servidores dedicados
Controles de acesso específicos para esses ambientes
Monitoramento diferenciado de conexões, inclusive fora do horário comercial
Vedação de acesso de prestadores de serviços às chaves privadas utilizadas na assinatura de mensagens do Pix
Para instituições que já operam com arquiteturas segmentadas, pode ser questão de documentar e formalizar. Para outras, pode exigir redesenho de infraestrutura.
2. Testes de Intrusão Anuais por Profissionais Independentes
A CMN 4.893/2021 já mencionava a necessidade de testes, mas deixava a cargo da instituição definir frequência, escopo e quem os executaria. Agora, as regras são explícitas:
Frequência: anual, no mínimo
Executor: profissionais independentes (não pode ser a própria equipe interna)
Documentação: resultados e planos de ação para correção de vulnerabilidades devem ser mantidos por cinco anos
Governança: os resultados passam a integrar os relatórios periódicos à alta administração
Atenção ao detalhe: “independente” significa independente. Se seu fornecedor de pentest é o mesmo que gerencia sua infraestrutura de segurança, pode haver questionamentos sobre a independência.
3. Inteligência Cibernética e Monitoramento de Dark Web
O BC agora exige explicitamente ações de inteligência cibernética que incluam monitoramento de informações na internet aberta, deep web e dark web.
Isso representa uma mudança de postura: de reativa (esperar o incidente acontecer) para proativa (identificar ameaças, credenciais vazadas e menções à instituição antes que sejam exploradas).
Para instituições que já contratam serviços de threat intelligence, trata-se de garantir que o escopo cubra explicitamente esses ambientes e que haja documentação adequada.
O Ponto Cego: Segurança no Ciclo de Desenvolvimento
Há um aspecto da nova regulação que merece atenção especial — e que frequentemente passa despercebido nas primeiras análises: a ampliação do escopo dos controles para o desenvolvimento de sistemas.
A Resolução BCB 538/2025 estende as exigências de segurança para:
Sistemas desenvolvidos internamente
Sistemas adquiridos de terceiros
Novas tecnologias adotadas pela instituição
Por que isso importa:
Muitas instituições possuem controles robustos para infraestrutura e operações, mas tratam o desenvolvimento de software com menos rigor regulatório. A nova norma elimina essa distinção.
Na prática, isso significa que:
Bibliotecas e dependências de terceiros (incluindo open-source) precisam passar por análise de segurança
APIs de parceiros integradas aos sistemas críticos entram no escopo de revisão
Sistemas legados que ainda processam dados sensíveis não podem ser ignorados
Evidências de revisão de código e testes de segurança em aplicações precisam ser documentadas e retidas
Para fintechs com cultura de desenvolvimento ágil e deploy contínuo, o desafio é integrar esses controles ao pipeline de CI/CD sem criar gargalos. Para bancos com sistemas legados, é garantir visibilidade sobre código que pode ter décadas de existência.
O Prazo é Mais Curto do Que Parece
As instituições têm até 1º de março de 2026 para se adequar. Parece confortável — até você considerar que:
Já estamos em Janeiro de 2026
Janeiro é tipicamente um mês de menor atividade operacional
Alguns controles exigem auditoria independente, o que demanda tempo para contratação e execução
Mudanças em ambientes de produção (como isolamento de Pix/STR) requerem planejamento, testes e janelas de manutenção
Na prática, projetos de adequação precisam começar agora para que haja margem para imprevistos.
Próximos Passos
A Resolução BCB 538/2025 não é motivo para pânico — especialmente para instituições que já investem em segurança. Mas também não é para ser subestimada.
O caminho para a conformidade passa por três etapas:
Diagnóstico: mapear gaps entre os controles atuais e as exigências específicas da nova regulação
Planejamento: priorizar ações considerando risco, complexidade e prazo
Implementação e documentação: executar as adequações e garantir evidências auditáveis
Se sua instituição precisa de apoio para acelerar esse processo — seja em análise de segurança de código, revisão de arquitetura ou consultoria especializada —
Gostou do conteúdo? Compartilhe com mais pessoas!