Login
Close Menu
    Colunistas Destaques Leonardo Ferreira Mercado Financeiro Notícias

    A Nova Arquitetura da Resiliência Digital no Sistema Financeiro Brasileiro: o que muda com as Resoluções BCB 538/2025 e CMN 5.274/2025?

    By 15 Mins Read

    Neste episódio que escrevi para minha newsletter do Linkedin – Radar de Crises, analiso por que o Banco Central do Brasil e o Conselho Monetário Nacional elevaram a régua da resiliência operacional e o que isso muda, na prática, para o funcionamento do sistema financeiro. O foco saiu dos controles formais e passou para a capacidade comprovada de sustentar operações críticas sob estresse. A nova arquitetura da resiliência digital não é uma tendência futura: é o novo padrão de sobrevivência institucional. A pergunta que fica é simples e incômoda — sua instituição está, de fato, preparada para operar quando a pressão vier?”

    Leonardo Ferreira

    Fique com o artigo escrito por Leonardo Ferreira

    Por que o Banco Central do Brasil elevou a régua da resiliência operacional e o que isso muda para o sistema financeiro?

    Director of Privacy, Cybersecurity & Anti-Fraud (CISO) – Brazil’s Digital Government | Global Cybersecurity, Privacy & Crisis Leader | National Advisor for Cyber & Privacy | PhD Candidate in Cybersecurity (UnB) |

    1. Introdução

    O Banco Central não está atualizando regras. Está redefinindo o limite de sobrevivência das instituições financeiras e o próprio conceito de funcionamento do sistema financeiro digital.

    Quando pagamentos, liquidação, dados e infraestrutura tecnológica entram na engrenagem central da economia, segurança deixa de ser um fim em si. O foco passa a ser sustentar operações críticas sob estresse, com governança real, continuidade operacional e capacidade comprovada de resposta.

    A partir de 1º de março de 2026, com a entrada em vigor das Resoluções BCB nº 538/2025 e CMN nº 5.274/2025, essa mudança deixa de ser debate conceitual e passa a ser obrigação regulatória. O regulador sinaliza um novo patamar de exigência: menor tolerância a fragilidades estruturais e maior cobrança por evidência, resiliência e estabilidade sistêmica.

    Neste episódio do Radar de Crises, analiso o que está mudando, por que isso acontece e quais capacidades passam a separar instituições sustentáveis daquelas que vão descobrir seus limites sob pressão.

    Para entender essa transformação, começamos pelo novo marco regulatório, analisamos o contexto digital que motivou a mudança e examinamos suas implicações para a lógica de funcionamento do sistema financeiro nacional.

    2. O marco regulatório que muda a lógica do sistema

    A entrada em vigor da Resolução CMN nº 5.274/2025 e da Resolução BCB nº 538/2025 inaugura um novo ciclo regulatório no sistema financeiro brasileiro. Não se trata apenas de atualizar requisitos de segurança cibernética ou continuidade operacional. O que emerge é um novo padrão de supervisão baseado na capacidade efetiva das instituições de sustentar operações críticas.

    Historicamente, o foco regulatório concentrou-se na existência de controles, políticas e estruturas formais de governança. O novo modelo amplia essa expectativa. A regulação passa a exigir evidência concreta de funcionamento sob condições adversas, resposta coordenada a incidentes e controle efetivo sobre riscos tecnológicos e operacionais.

    As normas reforçam responsabilidades sobre infraestrutura tecnológica, gestão de riscos cibernéticos, continuidade de serviços essenciais e dependências externas, especialmente quando operações críticas dependem de processamento de dados, computação em nuvem ou provedores tecnológicos especializados. A responsabilidade deixa de ser apenas contratual e passa a ser operacional.

    Na prática, o sistema passa a ser avaliado não apenas pela existência de controles, mas pela capacidade comprovada de manter serviços essenciais funcionando sob estresse. O centro da regulação deixa de ser o controle declarado e passa a ser a sustentação operacional demonstrável.

    Para entender por que o regulador elevou a régua, é preciso compreender primeiro como o sistema financeiro se tornou uma infraestrutura digital crítica.

    3. O novo contexto do sistema financeiro digital

    A evolução regulatória não ocorre no vazio. Ela responde a uma transformação profunda na forma como o sistema financeiro opera, se conecta e gera valor.

    Nas últimas décadas, tecnologia deixou de ser suporte e passou a ser o próprio núcleo do funcionamento das instituições financeiras. Serviços bancários, liquidação financeira, concessão de crédito, canais digitais e meios de pagamento passaram a depender de infraestruturas tecnológicas complexas, serviços em nuvem, processamento massivo de dados e ambientes digitais compartilhados.

    Esse processo ampliou eficiência, inovação e inclusão financeira, impulsionando a bancarização digital e expandindo o acesso de milhões de cidadãos ao sistema financeiro. Ao mesmo tempo, redefiniu a natureza dos riscos. A dependência tecnológica deixou de ser apenas um tema operacional e passou a ser fator crítico para a continuidade dos negócios e para a estabilidade do sistema financeiro.

    No contexto brasileiro, essa transformação é particularmente evidente na expansão do Sistema Financeiro Nacional e na crescente centralidade do Sistema de Pagamentos Brasileiro. Infraestruturas como o Sistema de Transferência de Reservas (STR), a liquidação financeira em tempo real e o ecossistema de pagamentos instantâneos baseado no Pix passaram a sustentar o funcionamento cotidiano da economia. Destaca-se também a centralidade da Rede do Sistema Financeiro Nacional (RSFN) como infraestrutura crítica de interconexão entre instituições e serviços essenciais.

    Ao mesmo tempo, o avanço do open finance, a digitalização massiva de serviços financeiros e a crescente dependência de provedores de serviços tecnológicos e infraestruturas compartilhadas ampliaram o grau de interconectividade entre instituições, mercados e prestadores de serviços críticos.

    Essa interdependência altera o perfil do risco. Falhas técnicas, incidentes cibernéticos ou interrupções operacionais deixam de ser eventos isolados e passam a ter potencial de propagação sistêmica. A indisponibilidade de infraestruturas críticas pode afetar múltiplas instituições, comprometer a continuidade de serviços essenciais e gerar impactos econômicos amplos.

    O sistema financeiro passa, assim, a operar como uma infraestrutura digital crítica da economia, cuja estabilidade depende não apenas da solidez individual das instituições, mas da capacidade coletiva de prevenir, absorver e responder a eventos de estresse.

    A transformação do sistema financeiro em infraestrutura digital crítica explica por que o regulador decidiu elevar a régua de resiliência operacional.

    A evolução regulatória brasileira acompanha tendência internacional de priorização da resiliência operacional no setor financeiro. Iniciativas como o Digital Operacional Resilience Act (DORA), na União Europeia, refletem agenda semelhante de fortalecimento da estabilidade operacional e da capacidade institucional de resposta.

    Mas o que exatamente muda na prática com as novas normas? É isso que veremos a seguir.

    4. As principais mudanças introduzidas pelas Resoluções BCB 538/2025 e CMN 5.274/2025

    As Resoluções BCB nº 538/2025 e CMN nº 5.274/2025 atualizam o regime regulatório de segurança cibernética, continuidade operacional e gestão de riscos tecnológicos aplicável às instituições autorizadas a funcionar pelo Banco Central, substituindo e ampliando dispositivos das Resoluções CMN nº 4.893/2021 e BCB nº 85/2021.

    O novo marco consolida um modelo regulatório orientado à resiliência operacional e à estabilidade sistêmica. Na prática, sete mudanças estruturais redefinem o padrão esperado de funcionamento das instituições financeiras.

    O que está em jogo não é apenas segurança tecnológica. É a capacidade de sobrevivência operacional das instituições.

    1. Governança mais forte sobre risco cibernético e operacional

    As normas ampliam a responsabilidade da alta administração sobre segurança cibernética, continuidade operacional e gestão de riscos tecnológicos. A supervisão passa a exigir maior integração entre estratégia, tecnologia e gestão de riscos.

    2. Continuidade operacional como requisito sistêmico

    Os requisitos relacionados a planos de continuidade, recuperação de serviços e manutenção de operações críticas são reforçados. O foco desloca-se da existência de planos para a capacidade efetiva de manter serviços essenciais em funcionamento sob condições adversas. As normas também reforçam requisitos de isolamento físico e lógico de ambientes críticos, especialmente infraestruturas associadas ao Pix e ao Sistema de Transferência de Reservas (STR).

    3. Maior responsabilização sobre infraestrutura tecnológica

    As instituições passam a responder diretamente pela estabilidade de suas infraestruturas tecnológicas, mesmo quando utilizam serviços terceirizados ou ambientes externos. A responsabilidade deixa de ser apenas contratual e passa a ser operacional, abrangendo serviços de processamento de dados, computação em nuvem e integrações com infraestruturas críticas do sistema financeiro..

    4. Gestão estruturada de dependências e provedores tecnológicos

    O novo marco reforça exigências sobre contratação, monitoramento e gestão de serviços de processamento de dados, computação em nuvem e provedores tecnológicos relevantes, incluindo avaliação prévia de riscos, monitoramento contínuo e mitigação de concentração de dependências. Nesse contexto, ganha relevância o papel dos prestadores de serviços de tecnologia da informação (PSTI), cuja atuação passa a ser tratada como elemento crítico para a estabilidade operacional das instituições financeiras e para a mitigação de riscos sistêmicos.

    5. Gestão integrada de riscos tecnológicos e cibernéticos

    As normas ampliam exigências de identificação de vulnerabilidades, monitoramento contínuo de ameaças, resposta estruturada a incidentes e integração entre riscos operacionais, tecnológicos e cibernéticos. O novo regime inclui ainda exigências explícitas de inteligência cibernética, como monitoramento de informações na internet, deep web e dark web, além do reforço de mecanismos de rastreabilidade fim a fim das operações, com trilhas de auditoria e retenção segura de registros.

    6. Supervisão mais orientada a evidências e testes

    A regulação reforça a necessidade de testes periódicos, monitoramento contínuo e comprovação da efetividade dos controles e mecanismos de resposta. A supervisão tende a priorizar evidência de funcionamento e capacidade operacional demonstrável. A regulação também estabelece a realização periódica de testes de intrusão com independência e documentação formal das vulnerabilidades identificadas e das ações de correção.

    7. Estabilidade operacional como objetivo regulatório explícito

    O conjunto das mudanças indica uma evolução do modelo regulatório para um regime orientado à resiliência operacional e à estabilidade do sistema financeiro. Segurança, continuidade e governança tecnológica passam a ser tratadas como pilares da estabilidade econômica e da confiança no sistema.

    O Banco Central sinaliza uma mudança clara: não basta prevenir falhas. É necessário garantir a continuidade das operações críticas mesmo quando falhas ocorrerem.

    A supervisão evolui da conformidade formal para a capacidade operacional demonstrada. O foco passa a ser a sustentação do sistema sob condições adversas.

    Esse novo padrão prepara o terreno para o debate sobre risco de ruptura e efeitos em cascata no sistema financeiro.

    5. Risco de ruptura operacional e cascata sistêmica

    O novo marco regulatório parte de um reconhecimento central: em um sistema financeiro altamente digitalizado e interdependente, falhas operacionais podem produzir impactos que ultrapassam os limites de uma única instituição.

    A crescente dependência de infraestruturas tecnológicas críticas, serviços compartilhados, provedores externos e sistemas de liquidação em tempo real amplia o potencial de propagação de incidentes. Interrupções deixam de ser eventos isolados e passam a ter potencial de repercussão sistêmica.

    No contexto do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro, essa interdependência torna-se especialmente sensível. Pagamentos instantâneos, liquidação em tempo real e conectividade contínua reduzem drasticamente a tolerância a interrupções.

    O risco central deixa de ser a ocorrência de falhas e passa a ser a incapacidade de sustentar operações sob condições adversas.

    Surge assim o conceito de limite de sustentação operacional: o ponto a partir do qual a organização perde a capacidade de absorver impactos e manter funções essenciais.

    A verdade é que muitas instituições ainda não sabem onde está esse limite.

    É justamente por isso que a preocupação regulatória desloca-se da prevenção de incidentes para a capacidade de manter serviços críticos funcionando sob estresse.

    Se o desafio passa a ser sustentar operações, o foco inevitavelmente migra para a capacidade organizacional de resposta. É nesse ponto que emerge a agenda de resiliência.

    6. A mudança de paradigma: da maturidade para a resiliência

    A evolução regulatória sinaliza uma transformação mais profunda do que o simples fortalecimento de controles. O que se observa é a transição de um modelo baseado na maturidade de processos para um modelo orientado à capacidade real de sustentação operacional.

    Historicamente, a gestão de riscos concentrou-se na existência de políticas, controles e estruturas formais. Esse modelo permanece necessário, mas revela limites em ambientes altamente interdependentes, nos quais controles não garantem continuidade sob estresse.

    A nova agenda desloca o foco para a capacidade da organização de absorver impactos, adaptar-se a eventos adversos e sustentar serviços críticos.

    A estabilidade do sistema passa a depender da interação entre governança, tecnologia, processos e pessoas operando sob pressão.

    O foco deixa de ser apenas quão protegida está a organização e passa a ser quão capaz ela é de continuar operando quando falhas inevitavelmente ocorrem.

    Esse movimento aponta para a necessidade de modelos analíticos capazes de avaliar capacidade organizacional, limites de sustentação e condições de ruptura operacional.

    As implicações dessa transformação deixam de ser apenas regulatórias e passam a ser estratégicas para as instituições financeiras.

    7. Implicações estratégicas para instituições financeiras

    Se a estabilidade do sistema depende da capacidade real de sustentar operações críticas, as implicações tornam-se estruturais para as instituições.

    A resiliência passa a ser tema de conselho e alta administração. Continuidade operacional deixa de ser função técnica isolada e passa a exigir integração entre governança, tecnologia, gestão de riscos e gestão de terceiros.

    Nesse novo contexto, algumas implicações tornam-se inevitáveis.

    1. Resiliência como agenda de conselho e alta administração

    Segurança cibernética, continuidade operacional e estabilidade tecnológica passam a integrar o núcleo da governança corporativa. O tema deixa de ser técnico e passa a ser estratégico, exigindo definição clara de prioridades, apetite a risco e capacidade institucional de resposta.

    2. Identificação e proteção de funções e serviços críticos

    Instituições precisam mapear funções essenciais, processos críticos e dependências operacionais que sustentam pagamentos, liquidação financeira, canais digitais, serviços ao cliente e infraestruturas críticas como Pix, STR e a Rede do Sistema Financeiro Nacional (RSFN). A continuidade dessas operações torna-se prioridade regulatória e estratégica.

    3. Gestão estruturada de dependências tecnológicas e terceiros

    A dependência de provedores tecnológicos, prestadores de serviços de tecnologia da informação (PSTI), serviços em nuvem e infraestruturas compartilhadas passa a exigir monitoramento contínuo, avaliação de riscos e mitigação de concentração. A terceirização deixa de ser apenas decisão operacional e passa a representar risco direto para a estabilidade institucional.

    4. Capacidade comprovada de operação sob estresse

    Organizações precisam demonstrar capacidade real de resposta a incidentes relevantes, indisponibilidade de sistemas e interrupções operacionais. Testes, simulações, testes de intrusão periódicos e a validação contínua dos mecanismos de resposta tornam-se práticas essenciais.

    5. Integração entre risco tecnológico, operacional e cibernético

    A gestão de riscos deixa de operar de forma fragmentada. Segurança, tecnologia, continuidade e risco operacional passam a ser tratados como dimensões interdependentes da estabilidade institucional.

    6. Redução do custo da indisponibilidade

    A indisponibilidade operacional passa a gerar impactos regulatórios, financeiros e reputacionais mais severos. A resiliência torna-se fator de competitividade, confiança e sustentabilidade institucional.

    7. Evolução da arquitetura organizacional

    A nova agenda exige revisão de processos, estruturas de governança, arquitetura tecnológica e modelos operacionais. Resiliência passa a ser capacidade organizacional estruturante e não apenas requisito de conformidade.

    A mensagem regulatória é clara: proteger sistemas não basta. É necessário garantir a sustentação das operações.

    8. Conclusões

    As Resoluções BCB nº 538/2025 e CMN nº 5.274/2025 redefinem o que significa operar no sistema financeiro brasileiro.

    Em um ambiente digital, interdependente e sustentado por infraestruturas críticas, proteger sistemas não é suficiente. O desafio passa a ser garantir a continuidade das operações essenciais mesmo quando falhas ocorrem.

    O foco regulatório desloca-se da conformidade formal para a capacidade operacional demonstrada, da existência de controles para a sustentação de serviços críticos e da segurança isolada para a estabilidade sistêmica.

    O sistema financeiro passa a ser tratado como infraestrutura digital crítica da economia.

    A pergunta que passa a separar instituições sustentáveis das vulneráveis é simples: quem consegue operar sob estresse e quem apenas espera que ele não aconteça. Essa é a nova fronteira entre resiliência e fragilidade organizacional.

    A nova arquitetura da resiliência digital não é uma tendência futura. É o novo padrão de sobrevivência institucional.

    O que está em curso não é apenas evolução regulatória, mas redefinição dos requisitos mínimos de funcionamento do sistema financeiro digital.

    9. Referências

    1. Banco Central do Brasil. (2025). Resolução BCB nº 538, de 2025. Dispõe sobre requisitos de segurança cibernética, continuidade operacional e gestão de riscos tecnológicos para instituições autorizadas a funcionar pelo Banco Central do Brasil. Brasília: BCB. Disponível em: https://www.bcb.gov.br

    2. Conselho Monetário Nacional. (2025). Resolução CMN nº 5.274, de 2025. Estabelece diretrizes para gestão de riscos, segurança e continuidade operacional no âmbito do Sistema Financeiro Nacional. Brasília: CMN. Disponível em: https://www.bcb.gov.br

    3. Conselho Monetário Nacional. (2021). Resolução CMN nº 4.893, de 2021. Dispõe sobre a política de segurança cibernética e requisitos para contratação de serviços de processamento e armazenamento de dados e computação em nuvem. Brasília: CMN. Disponível em: https://www.bcb.gov.br

    4. Banco Central do Brasil. (2021). Resolução BCB nº 85, de 2021. Estabelece requisitos para política de segurança cibernética e contratação de serviços tecnológicos. Brasília: BCB. Disponível em: https://www.bcb.gov.br

    5. Banco Central do Brasil. Sistema de Pagamentos Brasileiro (SPB). Documentação institucional. Brasília: BCB. Disponível em: https://www.bcb.gov.br

    6. Banco Central do Brasil. Pix e pagamentos instantâneos. Documentação institucional. Brasília: BCB. Disponível em: https://www.bcb.gov.br

    7. Banco Central do Brasil. Open Finance Brasil. Documentação institucional. Brasília: BCB. Disponível em: https://www.bcb.gov.br

    8. Banco Central do Brasil. Relatório de Estabilidade Financeira. Publicações periódicas. Brasília: BCB. Disponível em: https://www.bcb.gov.br

    9. Banco Central do Brasil. Relatório de Cidadania Financeira. Publicações periódicas. Brasília: BCB. Disponível em: https://www.bcb.gov.br

    10. ABNT. (2020). NBR ISO 22301:2020 – Sistemas de Gestão de Continuidade de Negócios: Requisitos. Rio de Janeiro: Associação Brasileira de Normas Técnicas (ABNT).

    11. ABNT. (2020). NBR ISO 22316:2020 – Segurança e resiliência — Resiliência organizacional: Princípios e atributos. Rio de Janeiro: Associação Brasileira de Normas Técnicas (ABNT).

    12. ABNT. (2023). NBR ISO 22361:2023 – Gestão de Crises: Diretrizes para o Desenvolvimento de Capacidade de Resposta. Rio de Janeiro: Associação Brasileira de Normas Técnicas (ABNT).

    Fonte: Leonardo FerreiraLinkedin | 20 de fevereiro de 2026

    Sobre Leonardo Ferreira

    Leonardo Ferreira, LinkedIn Top Voice | Diretor (CISO) | Diretor de Crises e Resiliência (CCRO) | Professor na FGV em Gestão de Crises Continuidade de Negócios e Recuperação de Desastres | Conselheiro Estratégico do CNCIBER, CNPD, CNSIC e CNSI para segurança cibernética e segurança de infraestruturas críticas e Colunista do Crypto ID |

    Leia outros artigos de Leonardo Ferreira, em sua coluna aqui!

    GOVERNO E TECNOLOGIA

    Aqui no Crypto ID você acompanha as principais ações do Governo Brasileiro e de outros Países relacionadas a privacidade, proteção de dados, serviços eletrônicos, formas de autenticação e identificação digital e Cibersegurança.

    Acesse agora e conheça nossa coluna GovTech!

    Mercado Financeiro

    Descubra o que diferencia o “bom” do “ótimo” na proteção bancária!

    Baixe o e-book da HID – Biometrics Identity Technologies e veja como transformar segurança em vantagem competitiva, acesse aqui!

    Conheça nossa coluna sobre o Mercado Financeiro e leia outros artigos.

    Compartilhe:

    Produzido por: Insania

    © 2014  CryptoID. Todos os direitos reservados.

    Fique sempre informado sobre tudo o que acontece.

      Área de atuação*

      Nível de experiência*

      Isso vai fechar em 0 segundos

      X