Fale conosco

Resoluções BCB 538 e CMN 5.274: O que muda para Instituições Financeiras

Resoluções BCB 538 e CMN 5.274: O que muda para Instituições Financeiras

compartilhar artigo

Resumo:

  • As resoluções BCB 538/2025 e CMN 5.274/2025 trazem novas normas para as instituições financeiras e de pagamento, focando na proteção das infraestruturas de dados e sistemas de pagamentos como o Pix e o STR.
  • Foram estabelecidos 14 procedimentos mínimos obrigatórios, que vão desde a gestão de certificados digitais e criptografia até a rastreabilidade total de operações e proteção de redes.
  • As transações de alta relevância, como as do Pix, agora exigem isolamento lógico e físico, com regras que limitam o acesso de terceiros (incluindo provedores de nuvem) às chaves privadas das instituições.
  • A realização anual de pentests por profissionais independentes agora é obrigatória, com a exigência de que os relatórios e planos de ação sejam armazenados por cinco anos.
  • Threat Intelligence passa a ser um controle mínimo exigido, obrigando o monitoramento de ameaças em ambientes como a deep e dark web.
  • Todas as instituições financeiras e de pagamento devem estar em conformidade total com as novas exigências até o dia 1º de março de 2026.
  • A Vantico ajuda instituições financeiras e de pagamento a se adequarem por meio do Pentest, da Inteligência de Ameaças, Avaliação de Fornecedores SaaS e Avaliação de Segurança em Cloud.

Banco Central do Brasil publica resoluções BCB 538/2025 e CMN 5.274/2025

Com a consolidação do Pix e a crescente complexidade das transações na Rede do Sistema Financeiro Nacional (RSFN), o Banco Central (BCB) e o Conselho Monetário Nacional (CMN) publicaram, em dezembro de 2025, novas diretrizes que elevam a barra de segurança para o setor.

As resoluções BCB nº 538/2025 e CMN nº 5.274/2025 atualizam normas anteriores, como a Resolução CMN 4.893, trazendo novas exigências e um foco na comprovação de capacidade operacional.

Para executivos e profissionais de segurança, o prazo é curto: todas as mudanças devem ser totalmente implementadas até 1º de março de 2026.

O que muda com a BCB 538/2025 e CMN 5.274/2025

Diferente de normas anteriores, as novas resoluções listam 14 controles mínimos obrigatórios, que devem estar integrados à política de segurança de todas as instituições financeiras e de pagamento:

  • Autenticação e MFA: rigor na verificação de identidade, especialmente em acessos privilegiados.
  • Criptografia e gestão de certificados: controle rígido sobre o ciclo de vida de certificados digitais e chaves.
  • Prevenção de intrusão e vazamento: mecanismos ativos para detectar tentativas de invasão e exfiltração de dados.
  • Rastreabilidade e logs: capacidade de reconstruir qualquer evento crítico no ambiente.
  • Gestão de vulnerabilidades e hardening: aplicação regular de correções e configuração segura dos ativos de tecnologia.
  • Inteligência de ameaças: monitoramento estruturado de ameaças externas (como deep e dark web).
  • Segurança em APIs: requisitos específicos para a integração segura entre sistemas e ecossistemas de Open Finance.

Mudanças para o Pix, STR e a Rede do Sistema Financeiro (RSFN)

Um dos pontos mais detalhados das novas resoluções foca na RSFN, exigindo proteções adicionais:

  • Isolamento de ambientes: as instâncias que processam o Pix e o Sistema de Transferência de Reservas (STR) devem estar isoladas lógica e fisicamente dos demais sistemas.
  • Segregação em nuvem: para instituições que usam a nuvem, esses ambientes críticos devem residir em instâncias dedicadas.
  • Custódia de chaves privadas: fica expressamente vedado o acesso de terceiros (incluindo prestadores de serviços de tecnologia) às chaves privadas associadas à assinatura de mensagens de pagamento. A responsabilidade e o controle devem ser 100% internos.

O Pentest torna-se obrigatório para instituições financeiras

A Resolução CMN 5.274/2025 traz uma exigência que impacta diretamente o planejamento anual de segurança: a obrigatoriedade de testes de intrusão anuais realizados por profissionais independentes.

  • Documentação: é preciso documentar detalhadamente os resultados, as vulnerabilidades identificadas e o plano de ação para remediação.
  • Retenção de dados: todos os relatórios e evidências de correção devem ser mantidos à disposição do Banco Central por um período mínimo de 5 anos.
  • Escopo ampliado: os testes devem cobrir não apenas sistemas próprios, mas também ativos de terceiros que são usados na infraestrutura da instituição, como os softwares.

A Inteligência de Ameaças ganha um novo papel

Uma das mudanças mais significativas para o C-Level é a formalização da Inteligência de Ameaças (Threat Intelligence) como requisito.

O BCB agora exige que as instituições tenham “ações de inteligência no ambiente cibernético”.

Isso significa que a segurança não pode mais ser apenas reativa, mas preditiva:

  • Identificar menções à marca ou infraestrutura em fóruns na dark, ou deep web.
  • Detectar credenciais vazadas em tempo real.
  • Monitorar novos métodos de ataque.

Como a Vantico ajuda Instituições Financeiras?

Para se adequar às resoluções BCB 538/2025 e CMN 5.274/2025, é preciso ter uma visão completa da infraestrutura de segurança.

A Vantico oferece as camadas técnicas e estratégicas necessárias para que sua instituição não apenas cumpra as normas, mas eleve sua resiliência:

  • Pentest para Instituições Financeiras: nossos testes têm metodologia rigorosa e orientada a compliance, além de ser executado por profissionais certificados e experientes. Nossos relatórios orientam a correção e fornecem evidência para auditoria.
  • Threat Intelligence (Inteligência de Ameaças): trazemos dados relevantes de verdade, com insights preditivos (identificação de tendências, atores e campanhas emergentes), análise contextualizada, alertas estratégicos e análise de padrões de ataque para prevenir incidentes.
  • Avaliação de fornecedores SaaS: identificamos ameaças associadas ao uso de softwares de terceiros, mapeando vulnerabilidades antes que elas afetem a instituição.
  • Avaliação de segurança em cloud: agora que a estrutura em nuvem ganha ainda mais importância, nossos testes ajudam a encontrar erros, avaliar a superfície de ataque e revisar a arquitetura de cloud.
  • E muito mais.

O prazo é desafiador, mas com o parceiro é possível encontrar as soluções certas para adequar-se.

Sua infraestrutura está pronta para a auditoria do BCB? Fale com a Vantico e comece agora.

Siga a Vantico nas redes sociais e fique informado sobre cibersegurança, tecnologia e insights.

FAQ: Perguntas frequentes sobre as resoluções BCB 538/2025 e CMN 5.274/2025

1. Quais instituições são afetadas pelas novas resoluções?

A Resolução CMN 5.274/2025 é voltada para as instituições financeiras (bancos, cooperativas de crédito, etc.), enquanto a Resolução BCB 538/2025 foca nas instituições de pagamento (IPs), corretoras e distribuidoras.

2. Qual é o prazo final para estar em conformidade?

As instituições têm até o dia 1º de março de 2026 para implementar todos os controles, processos de inteligência e protocolos de isolamento exigidos pelas novas normas.

3. O Pentest é obrigatório para instituições financeiras e de pagamento no Brasil?

Agora sim. A resolução torna obrigatória a realização de testes de intrusão anualmente, conduzidos por profissionais independentes, com a documentação dos planos de ação para corrigir vulnerabilidades sendo mantida por 5 anos.

4. Threat Intelligence é obrigatório para instituições financeiras e de pagamento no Brasil?

Agora sim. A instituição deve possuir uma estrutura (própria ou terceirizada) de Inteligência de Ameaças, para monitoramento de ameaças em fóruns, deep/dark web, detecção de vazamentos de credenciais e análise de novos vetores de ataque.

Gostou deste artigo?

Divulgue!

Foto de Júlia Valim

Júlia Valim

Sumário