Banco Central atualiza regras de segurança cibernética para instituições financeiras

A Resolução CMN 5.274 marca uma nova fase da cibersegurança nas instituições financeiras. Saiba quais mudanças exigem atenção em 2026.
Compartilhe esse post

Entenda os principais impactos da Resolução CMN 5.274 e como ela redefine o padrão de cibersegurança e resiliência no Sistema Financeiro Nacional.

Na última quinta-feira (18/12), o Banco Central do Brasil (BCB) aprovou um conjunto de regras que altera de forma significativa a maneira como as instituições financeiras utilizam serviços terceiros e protegem operações críticas. Mais do que uma mudança regulatória, a atualização marca o fim da cibersegurança “documental” e o início da resiliência arquitetural.

As novas diretrizes, definidas pelo Conselho Monetário Nacional (CMN), reforçam a segurança cibernética, o controle sobre dados sensíveis e a resiliência da infraestrutura tecnológica do Sistema Financeiro Nacional. Na prática, muitos fornecedores de tecnologia deixam de ser tratados apenas como um serviço de apoio e passam a ser vistos como infraestrutura crítica.

Todas as instituições financeiras autorizadas a funcionar pelo Banco Central têm até o dia 1º de março de 2026 para se adequarem às normativas. Ao longo deste conteúdo, você vai entender o que mudou na prática e quais ações devem ser adotadas para preparar sua empresa para esse novo cenário.

Mudanças estabelecidas na Resolução CMN nº 5.274

A grande transformação da norma está nos seus pilares técnicos, que redefinem como a segurança deve ser implementada na prática.

1. Independência ofensiva: o fim do “pentest de fachada”

A resolução exige testes de intrusão independentes, conduzidos por equipes sem qualquer subordinação ao desenvolvimento ou à infraestrutura. Em outras palavras, “o dono da obra não pode mais assinar o laudo de segurança”. 

Agora é obrigatório os requisitos abaixo!

  • Pentest independente anual, realizado por auditoria externa certificada ou por unidade interna segregada;
  • Escopo full-stack, incluindo:
    • lógica de negócios (Pix, APIs, autenticação);
    • infraestrutura, nuvem e rede;
    • simulações de engenharia social (spear phishing).
  • Retenção de evidências por 5 anos, com logs, exploits e artefatos disponíveis para inspeção do Banco Central.

2. Soberania criptográfica: a chave não pode mais ficar com terceiros

Um dos pontos mais sensíveis da norma é o fim do acesso de terceiros às chaves criptográficas.  Mesmo em ambientes de nuvem, a custódia da chave mestra deve ser exclusivamente da instituição financeira, por meio de KMS ou HSM próprios.

Na prática, a chave do “cofre digital” não pode ficar com o fornecedor. Assim, mesmo que o provedor de nuvem seja comprometido, ele não terá como acessar ou descriptografar os dados.

A norma exige:

  • custódia soberana das chaves, sem acesso administrativo de provedores de nuvem;
  • segregação de ambientes criptográficos, especialmente para Pix e STR, com HSMs dedicados ou FIPS 140-2 Level 3;
  • adoção obrigatória de BYOK ou HYOK, garantindo posse total da master key;
  • protocolos de comunicação reforçados, com TLS 1.3+, mTLS e conformidade com ISO 20022 no Open Finance.

3. Rede do Sistema Financeiro Nacional (RSFN) como ativo crítico de continuidade

A comunicação com a RSFN passa a ser tratada como infraestrutura crítica e componente central da continuidade do negócio. Isso exige “Due Diligence” rigorosa dos provedores de conectividade (PSTIs) e redundância geográfica total.

Na prática, a conexão com a rede do sistema financeiro nacional não pode ter ponto único de falha. Se uma rota ou cabo for interrompido, o tráfego deve ser redirecionado automaticamente, sem impacto ao serviço.

A norma determina:

  • redundância física e lógica, com links de operadoras distintas e backbones geograficamente separados, utilizando BGP dinâmico ou SD-WAN;
  • auditoria técnica dos PSTIs, com contratos que garantam o direito de inspeção do Banco Central;
  • proteção contra DDoS, com camadas específicas de mitigação para o tráfego da RSFN, assegurando a disponibilidade do Pix mesmo sob ataque.

4. Inteligência proativa: detectar e neutralizar antes do ataque

Agora será exigido o monitoramento de ameaças externas, substituindo o modelo puramente reativo por uma abordagem de inteligência ativa.

Isso inclui os pontos abaixo!

  • EASM (External Attack Surface Management) para identificar exposições de IPs, subdomínios e acessos vulneráveis em tempo real.
  • Monitoramento da Dark Web, para detectar credenciais vazadas e menções à infraestrutura da instituição.
  • Takedown rápido de sites e aplicativos falsos, usados em golpes e fraudes, especialmente relacionados ao Pix.
  • Automação de indicadores de comprometimento (IoCs), com atualização imediata de firewalls, WAFs e soluções EDR/XDR.

Na prática, não basta mais reagir ao ataque: é preciso enxergar o risco antes que ele se concretize.

5. Rastreabilidade e logs imutáveis

A norma exige que os logs de operações do Pix e do Open Finance sejam armazenados em formato imutável, impedindo qualquer alteração, inclusive por administradores. Esses registros funcionam como uma “caixa-preta” digital, válida como prova jurídica por 5 anos.

Além disso, a resolução reforça a responsabilidade sobre terceiros, exigindo:

  • auditoria técnica prévia de fornecedores (cloud, core bancário e gateways);
  • cláusulas contratuais de conformidade, com direito de auditoria pelo Banco Central;
  • planos de continuidade e saída, garantindo resiliência caso fornecedores críticos fiquem indisponíveis.

O caminho para a adequação 🎯 

O primeiro trimestre de 2026 tende a concentrar uma alta demanda por consultorias especializadas e auditores, o que pode gerar gargalos no processo de adequação. Antecipar-se a esse cenário é uma decisão estratégica de continuidade e maturidade institucional.

Por isso, listamos alguns passos essenciais.

1- Gap analysis imediata

Avaliar o nível atual de aderência à Resolução CMN 5.274 e identificar os ajustes necessários para a transição da conformidade documental para a conformidade técnica.

2- Revisão de risco de terceiros (Vendor Risk)

Reavaliar fornecedores de nuvem e conectividade com a RSFN, considerando os novos requisitos de segurança, resiliência e auditabilidade.

3- Implementação de controles estruturantes

Priorizar a custódia soberana de chaves criptográficas e a adoção de logs imutáveis, fortalecendo a arquitetura e a governança de segurança.

Se a sua instituição precisa de apoio para se adequar a essas transformações, fale com um especialista da Secular e entenda como podemos apoiar sua jornada de conformidade e fortalecimento da segurança.

Quer conhecer a nossa plataforma?

Solicite uma demonstração para o nosso time de vendas.

Fale com um especialista
Compartilhe esse post

Post Relacionados

5 dicas para uma gestão de riscos cibernéticos inteligente

Esteja sempre um passo à frente das ameaças digitais. Saiba como uma gestão de riscos inteligente pode ser crucial para o sucesso da sua empresa.

Como manter a segurança na nuvem?

Saiba como é possível trabalhar em um ambiente de nuvem de forma segura, adotando boas práticas no dia a dia.

Secular recebe selo ISO/IEC 27001:2022 e reforça seu compromisso com a segurança

Saiba a importância de receber a certificação ISO/IEC 26001:2022 e quais impactos ela gera para o mercado e para os clientes e parceiros.

© 2025 Secular. Todos os direitos reservados.