Instituições financeiras têm que se adaptar às novas exigências de Segurança Cibernética

As instituições financeiras autorizadas a funcionar pelo Banco Central do Brasil têm até o dia 1º de março para se adequarem às novas exigências de Segurança Cibernética determinadas pela Resolução CMN nº 5.274/2025, publicada em dezembro do ano passado, pelo Conselho Monetário Nacional. Essa Resolução altera a Resolução CMN nº 4.893/2021, que dispõe sobre a política de Segurança Cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de Dados e de Computação em Nuvem a serem observados pelas instituições financeiras.

Além de mecanismos que eram exigidos anteriormente, como Autenticação, criptografia, prevenção de intrusões, gestão de vulnerabilidades e rastreabilidade, a nova Resolução faz alterações que determinam a proteção de redes e certificados digitais, controle de acesso, gestão de cópias de Segurança de Dados e informações, bem como a adoção de ações estruturadas de inteligência cibernética, com monitoramento contínuo de ameaças na Internet, Deep Web e Dark Web.

No âmbito da Rede do Sistema Financeiro Nacional, a inclusão do artigo 3º-A estabelece requisitos específicos para comunicações eletrônicas de Dados, destacando-se a obrigatoriedade de autenticação multifator para acessos administrativos aos ambientes do Pix e do Sistema de Transferência de Reservas (STR); o isolamento físico e lógico desses ambientes, inclusive em Nuvem; a validação de integridade das transações antes da assinatura digital e a vedação de acesso de terceiros às chaves privadas dos certificados digitais.

“As alterações refletem o avanço da digitalização do Sistema Financeiro Nacional e a preocupação com a quantidade de tentativas de fraudes em instituições financeiras no País, reforçando a abordagem regulatória baseada em gestão de riscos, governança e responsabilidade contratual”, comenta Felipe Herrera, sócio de Direito Digital do Villemor Amaral Advogados.

A nova norma também reforça a exigência de testes de intrusão com periodicidade mínima anual, independência técnica, documentação dos resultados e reporte à alta administração, com retenção das evidências por cinco anos.

Os requisitos de Segurança passam a se estender aos sistemas operados ou desenvolvidos por terceiros, quando executados com recursos computacionais da própria instituição, ampliando a Governança sobre a Cadeia de fornecedores.

A advogada Ana Carolina Freitas, da área de Direito Digital do Villemor Amaral Advogados, explica que as alterações produzem impactos relevantes de natureza operacional, contratual e de governança. “A formalização de controles mínimos mais detalhados e auditáveis tende a demandar investimentos adicionais em tecnologia, processos e equipes especializadas, especialmente nas áreas de cibersegurança e gestão de riscos”, afirma.

Além disso, do ponto de vista contratual, as exigências ao isolamento dos ambientes do Pix e STR e à ampliação da governança sobre terceiros impactam diretamente contratos de computação em nuvem e serviços tecnológicos críticos, podendo exigir ajustes de arquitetura, revisão de SLAs e reavaliação de modelos de terceirização.

“A norma eleva o nível de exigência regulatória em Segurança Cibernética. Isso demanda atuação coordenada entre as áreas jurídica, tecnológica, de riscos e de Governança”, acrescenta Felipe Herrera.