Em 18 de dezembro de 2025, o Conselho Monetário Nacional (CMN) atualizou o arcabouço de segurança cibernética para instituições financeiras ao alterar a Resolução CMN nº 4.893/2021 por meio da Resolução CMN nº 5.274/2025. A atualização vem acompanhada da Resolução BCB nº 538/2025, que ajusta as regras para instituições de pagamento e correlatas, estabelecendo um conjunto mínimo verificável de controles e reforços específicos para RSFN, Pix e STR.
O prazo de adequação se encerra em 1º de março de 2026.
O Banco Central (BC) e o CMN buscam uniformizar o ambiente regulatório e fortalecer a segurança das infraestruturas de comunicação de dados e dos sistemas de pagamentos em um contexto de digitalização acelerada e aumento de tráfego na RSFN (impulsionado pelo Pix).
A Resolução detalha 14 procedimentos e controles mínimos que passam a ser mandatórios na política de segurança cibernética das instituições, sendo eles:
Os controles se aplicam também a sistemas de terceiros executados com recursos computacionais da própria instituição, reforçando a responsabilidade sobre fornecedores e serviços de nuvem.
A nova resolução também estabelece reforços específicos para RSFN, Pix e STR, conforme descrito a seguir:
A resolução determina a realização anual de testes de intrusão por profissionais independentes, com documentação de resultados e planos de ação, mantidos à disposição do BC por cinco anos. O endurecimento responde ao aumento de ataques e fraudes eletrônicas associados ao ecossistema do Pix, exigindo efetividade prática dos controles.
Nosso time de Cybersecurity atua na definição e implementação de estratégias robustas para fortalecer a segurança digital, mitigar ameaças e garantir aderência à Resolução CMN 5.274/2025 e demais legislações aplicáveis.
A Cyber Threat Intelligence (CTI) passa a constar entre os controles mínimos — um divisor de águas para a área. Sem um plano de CTI estruturado e acionável, a capacidade de antecipação diminui, a priorização do que realmente importa se perde e a reação a incidentes se torna tardia. A estratégia deve estar conectada à operação (SOC/CSIRT), à gestão de credenciais e à proteção de integrações, com relatórios executivos que suportem decisões.
Os negócios afetados pelas novas resoluções são as instituições financeiras autorizadas pelo BC (Resolução CMN 5.274/2025, que altera a 4.893/2021) e as instituições de pagamento, corretoras e distribuidoras (Resolução BCB 538/2025, que altera a BCB 85/2021).
Essas empresas têm até 1º de março de 2026 para plena aderência às exigências. Processos como planejamento, execução e evidências tornam-se críticos nessa jornada de adaptação.
Evidências devem ser o novo idioma: logs, trilhas ponta a ponta, relatórios de incidentes e testes de continuidade precisam chegar ao nível executivo. O modelo é mais prescritivo, reduz o espaço para interpretações e exige mecanismos específicos como MFA, criptografia, isolamento, CTI, testes de intrusão e gestão de certificados, entre outros.
Mapeie capacidades e evidências (processos, inventário, governança, entre outros).
Tenha monitoramento ativo em Internet e Deep/Dark Web conectado ao SOC/CSIRT e à gestão de credenciais.
Crie ambiente com proteção e isolamento das informações, além de chaves de acesso às instâncias dedicadas para Pix/STR em nuvem. É essencial proibir acesso de terceiros às chaves privadas e manter a política de Key Management atualizada.
Priorize perfis de configuração segura, segmentação de redes, MFA e validação de integridade end to end.
Realize pentest anual de forma independente e mantenha plano de ação relativo à contratação, documentação e retenção de informações por 5 anos.
Amplie o escopo dos controles para sistemas de terceiros e preveja auditoria e compliance contratual.
A CMN 5.274/2025 e a BCB 538/2025 não demandam apenas “políticas”, mas sim uma capacidade operacional comprovável. Quem se antecipa e prioriza riscos se torna mais aderente às normas, resiliente e com menor exposição regulatória e reputacional.
