Novas regras do Banco Central elevam exigência de cibersegurança e pressionam fintechs a comprovar controles até março de 2026

A partir de 1º de março de 2026, instituições financeiras, instituições de pagamento e empresas integrantes do Sistema Financeiro Nacional precisarão comprovar, na prática, a adoção de controles mínimos de cibersegurança exigidos pelas Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, publicadas em 18 de dezembro de 2025 pelo Conselho Monetário Nacional (CMN) e pelo Banco Central. O novo pacote regulatório torna mais prescritivos os requisitos de segurança e inaugura uma fase de “controle comprovável”, com necessidade de evidências, testes independentes e documentação estruturada.

Ao todo, passam a ser mandatórios 14 controles mínimos, incluindo autenticação forte, criptografia, prevenção e detecção de intrusões, proteção contra vazamento de dados, rastreabilidade de acessos, backup, gestão de vulnerabilidades, hardening de sistemas, proteção de rede, gestão de certificados digitais, requisitos específicos para integrações via APIs e inteligência cibernética com monitoramento contínuo da internet, deep web e dark web. Para ambientes críticos como RSFN, Pix e STR, as resoluções reforçam exigências como MFA para acessos administrativos, isolamento físico e lógico de ambientes, inclusive em nuvem, com instâncias dedicadas, e validação de integridade de ponta a ponta antes da assinatura digital.

Segundo Luiz Claudio, CEO e fundador da LC SEC, empresa especializada em cibersegurança e compliance internacional, o novo modelo regulatório representa uma virada operacional para o setor financeiro. “Deixa de ser suficiente ter políticas bem escritas. Agora, as instituições precisam mostrar que os controles existem, funcionam e foram testados. Isso exige priorização, execução técnica e organização de evidências, especialmente para quem ainda está amadurecendo sua estrutura de segurança”, afirma o executivo.

O contexto de risco reforça a urgência da adequação. De acordo com o Data Breach Investigations Report 2025, da Verizon, o elemento humano está envolvido em cerca de 60% das violações analisadas. Já o relatório global da IBM aponta que o custo médio de um vazamento de dados chegou a US$ 4,44 milhões em 2025, com um tempo médio de 241 dias para identificar e conter incidentes. Esse cenário aumenta a pressão sobre instituições reguladas, que agora enfrentam prazos definidos e fiscalização baseada em evidências.

Além dos controles técnicos, as resoluções também tornam obrigatória a realização de teste de intrusão anual, conduzido por empresa ou profissional independente, com documentação formal, plano de ação corretivo e retenção das evidências por períodos que análises de mercado indicam chegar a até cinco anos. O movimento segue uma tendência internacional de fortalecimento da resiliência operacional no setor financeiro, alinhada a marcos regulatórios como o DORA, em vigor na União Europeia desde janeiro de 2025.

Nesse cenário, a LC SEC, consultoria brasileira com atuação no Brasil e na Europa, apoia instituições financeiras e fintechs na jornada de adequação até março de 2026. A empresa atua desde o diagnóstico de lacunas frente aos 14 controles exigidos, passando pela construção de planos de ação priorizados, execução técnica e organização das evidências regulatórias, até a realização de pentests independentes com reteste e suporte à correção. “A inteligência cibernética também ganha protagonismo, especialmente com o monitoramento de vazamentos, credenciais expostas e menções em deep e dark web, que alimentam a resposta a incidentes e a tomada de decisão”, complementa Luiz Claudio.

Com mais de 10 anos de experiência em projetos de segurança e conformidade, Luiz Claudio lidera iniciativas baseadas em frameworks como ISO 27001, ISO 42001, SOC 2, PCI DSS, NIST, LGPD, GDPR e DORA, além de trabalhos focados em cultura organizacional e integração de inteligência artificial às estratégias de defesa digital. “O prazo é curto e o nível de exigência aumentou. Quem tratar o tema apenas como compliance documental corre o risco de não passar pelo novo crivo regulatório”, conclui o executivo.