BCB e CMN Estabelecem Requisitos Adicionais de Segurança Cibernética

Em resumo

O Banco Central do Brasil (BCB) publicou em 18 de dezembro de 2025 a Resolução CMN nº 5.274/2025 e a Resolução BCB nº 538/2025, ambas alterando normas anteriores sobre segurança cibernética e requisitos para contratação de serviços de processamento, armazenamento de dados e computação em nuvem para instituições reguladas pelo BCB. A Resolução CMN nº 5.274/2025 altera a Resolução CMN nº 4.893/2021, enquanto a Resolução BCB nº 538/2025 altera a Resolução BCB nº 85/2021.

Requisitos adicionais de segurança cibernética (CMN 5.274/2025 e BCB 538/2025)

Segundo o Banco Central do Brasil, as novas regulamentações buscam fortalecer a segurança das infraestruturas de comunicação de dados e dos sistemas de pagamentos do Sistema Financeiro Nacional (SFN) e do Sistema de Pagamentos Brasileiro (SPB), em resposta à crescente digitalização do setor e à implantação do Pix, que ampliou o tráfego na Rede do Sistema Financeiro Nacional (RSFN).

Em relação à política de segurança cibernética das instituições reguladas, a nova regulamentação detalha 14 procedimentos e controles que devem necessariamente ser adotados pelas instituições para reduzir a vulnerabilidade a incidentes e atender aos demais objetivos de segurança cibernética, dentre eles a autenticação, mecanismos de criptografia, mecanismos de prevenção e detecção de intrusão e de vazamento de informações, mecanismos de rastreabilidade, mecanismos de proteção de redes, gestão de certificados digitais e ações de inteligência no ambiente cibernético, incluindo o monitoramento de informações de interesse da instituição na internet, na Deep Web e na Dark Web, além de grupos privados de comunicação. Os procedimentos e controles também devem ser implementados em relação a sistemas de terceiros utilizados em recursos computacionais da instituição.

No caso de comunicação eletrônica de dados na RSFN, a regulamentação prevê requisitos de segurança adicionais que devem ser adotados pelas instituições como parte dos procedimentos e controles de segurança cibernética, incluindo múltiplos fatores de autenticação para acesso administrativo aos ambientes PIX e Sistema de Transferência de Reservas – STR, isolamento físico e lógico do ambiente Pix e do ambiente STR dos demais sistemas da instituição, mantendo instância dedicada e apartada dos demais ambientes no caso de serviços de computação em nuvem, monitoramento de credenciais e certificados digitais, especialmente as utilizadas no âmbito do Sistema de Pagamentos Instantâneos – SPI, implementação de mecanismos de validação da integridade fim a fim de transações antes da assinatura digital das mensagens associadas, dentre outros. Além disso, os serviços prestados para a comunicação eletrônica de dados na RSFN foram expressamente considerados serviços relevantes para fins da aplicação das obrigações sobre a contratação de serviços de processamento, armazenamento de dados e computação na nuvem.

As novas resoluções também trazem a exigência de realização de testes anuais de intrusão por empresa independente especializada, com documentação obrigatória de vulnerabilidades e planos de ação. O BCB poderá publicar regulamentação adicional, inclusive especificando requisitos técnicos para integração de sistemas por interfaces eletrônicas e prazos máximos para reinício de atividades interrompidas.

Entrada em Vigor

Ambas as resoluções entram em vigor na data de publicação (18/12/2025), com prazo para adequação plena até 01/03/2026.