A Nova Era da Resiliência Cibernética – Como as Regulações do BACEN estão Blindando o Sistema Financeiro. Por Susana Taboas

Novas regras do Banco Central elevam o padrão de segurança e transferem às instituições financeiras a responsabilidade de bloquear fraudes em tempo real

As regulações mais recentes do Banco Central estão redesenhando o sistema financeiro brasileiro ao impor uma postura ativa no combate a fraudes e riscos cibernéticos. Segundo Susana de Paula Taboas, “a lógica mudou: antes o foco era a educação do usuário; agora, a regulação exige que as instituições financeiras assumam a responsabilidade técnica de bloquear o crime em tempo real”, marcando uma virada estrutural na forma como segurança e compliance são tratados no país

Por Susana Taboas

O Banco Central (BC) tem sido extremamente agressivo nos últimos meses para tentar conter a sofisticação das fraudes, especialmente após eventos críticos como o ataque à infraestrutura do BTG Pactual e a proliferação de contas “laranjas” criadas através de fintechs.

A lógica mudou: antes o foco era a educação do usuário; agora, a regulação exige que as instituições financeiras assumam a responsabilidade técnica de bloquear o crime em tempo real.

Bacen reforça regulação e apresenta novas medidas para fortalecer a segurança do sistema financeiro (2025–2026)

1. Bloqueio Automático e Preventivo (Resolução 501/2025)

Esta é uma das normas mais fortes de 2025. O BC passou a obrigar as instituições a rejeitar automaticamente operações em contas com qualquer indício de fraude.

• Varredura Total: Os bancos devem usar bases de dados públicas e privadas para identificar movimentações suspeitas.
• Abrangência: Não vale apenas para o Pix, mas também para TED, DOC, cartões e depósitos.
• Transparência: O banco deve avisar o cliente imediatamente sobre o bloqueio, garantindo a rastreabilidade da ação.

2. BC Protege+: O “Escudo” do Cidadão

Lançado no final de 2025, o BC Protege+ é uma ferramenta gratuita dentro do portal “Meu BC”, com o objetivo de acabar com a abertura de contas feitas com documentos falsos ou roubados.

Como funciona: O BC Protege+ permite que você “trave” seu CPF ou CNPJ. Se a proteção estiver ativa, nenhuma instituição financeira pode abrir uma conta ou incluir você como titular sem que você desative o serviço via gov.br (ouro ou prata)

3. MED 2.0 (Mecanismo Especial de Devolução)

O mecanismo de devolução do Pix evoluiu drasticamente em 2026 para combater as “contas de passagem”, quando o ladrão pula o dinheiro de conta em conta rapidamente, para que não seja rastreada facilmente.

O rastreamento agora é feito em camadas, e o MED 2.0 permite que o bloqueio de valores ocorra em múltiplas camadas da cadeia de transação, não apenas na primeira conta que recebeu o dinheiro. A contestação agora é feita diretamente pelo app do banco, sem necessidade de ligações demoradas, aumentando a chance de recuperar o valor antes que ele seja sacado.

4. Rigor com Instituições e Fintechs (Resoluções 518 e 538)

O cerco fechou para as instituições menores e Provedores de Tecnologia (PSTI):

• Responsabilidade Financeira: Estabeleceu-se um prazo máximo de 180 dias para responsabilização de participantes em fraudes de cartões/pagamentos.
• Segurança Cibernética: Novas regras exigem testes de intrusão constantes e auditorias independentes sobre os sistemas de segurança, anteriormente feito apenas nos Bancos com rigor, agora tanto as Fintechs qto os PSTI devem seguir o mesmo rigor de segurança que os bancos.
• Limite para “Desconhecidos”: Instituições não autorizadas pelo BC agora têm limites severos (como R$ 15 mil por transação no Pix) para mitigar riscos de lavagem de dinheiro.

Com o aumento da sofisticação dos ataques — especialmente os que utilizam IA generativa para phishing e a exploração de vulnerabilidades em APIs de Open Finance — o Banco Central subiu o rigor de compliance e segurança requerida. O foco em Segurança Cibernética deixou de ser apenas “ter um firewall” para se tornar uma gestão de risco contínua e punitiva.

Pilares da nova regulação reforçam a cibersegurança no sistema financeiro (2025–2026)

1. Resolução BCB nº 538: O Novo Padrão de Resiliência

Esta resolução consolidou as exigências de segurança para todas as instituições autorizadas. O ponto chave aqui é a Resiliência Operacional.

• Testes de Intrusão Obrigatórios: Não basta mais uma auditoria anual. Instituições de maior porte de nível S1 e S2 agora precisam realizar Red Teaming (simulações de ataque real) com periodicidade semestral.
• Gestão de Terceiros: A norma exige que o banco seja responsável pela segurança de seus fornecedores de nuvem e APIs, se um parceiro tecnológico vaza dados, a multa recai sobre a instituição financeira, pois ele é agora responsável pela gestão de risco tb desse terceiro no mesmo nível que a ele próprio.
• Criptografia Pós-Quântica: Já começaram as diretrizes para que os sistemas de mensageria financeira comecem a transição para métodos de criptografia resistentes à computação quântica.

2. Compartilhamento de Incidentes em Tempo Real

O BC implementou uma rede de inteligência compartilhada. Quando um banco sofre uma tentativa de invasão ou detecta um novo tipo de malware, ele é obrigado a reportar ao ecossistema do sistema financeiro em janelas de tempo curtíssimas, ou seja, algumas horas.

3. Autenticação e Identidade Digital

O “roubo de conta” é o maior problema hoje. Para combater isso, as novas normas exigem:

• Fim do SMS como 2FA: As Resoluções BCB 538 e CMN 5.274 elevam o padrão de autenticação, exigindo que o MFA seja resistente a ataques de interceptação de canal. Na prática, isso marca o fim da dependência do SMS (vulnerável ao SIM Swap) em favor de tokens internos em aplicativos e biometria comportamental, garantindo o vínculo seguro entre o usuário e o dispositivo autorizado.
• Biometria Comportamental: Os apps agora monitoram a “assinatura por digitação” e a forma como o usuário segura o celular. Se o padrão mudar drasticamente durante uma transação alta, o sistema exige uma prova de vida facial (Liveness Check) imediata.

Portanto para atender a essas novas exigências de segurança, o Banco Central e o Conselho Monetário Nacional (CMN) publicaram um “pacote” normativo robusto no final de 2025, com prazos de adequação que se encerram em 1º de março de 2026.

As principais normas que devemos acompanhar são:

1. Resolução BCB nº 538/2025

Esta é a norma mestre para as Instituições de Pagamento (IPs) e demais entidades autorizadas pelo BC. Ela detalha 14 controles mínimos obrigatórios, que exigem a implementação de mecanismos de autenticação multifator (MFA) robustos e monitoramento de ameaças em tempo real. Aqui entra o fechamento do cerco ao SMS e a norma obriga que o MFA seja resistente a interceptações comuns, empurrando as instituições para autenticação via app (tokens internos) ou biometria.

2. Resolução CMN nº 5.274/2025

Esta norma atualiza a Resolução CMN nº 4.893/2021, elevando o patamar de exigências para instituições classificadas como S1 – Bancos Sistêmicos e de Grande porte até os S4 – Bancos Pequeno porte e fintechs, ficando de fora desse controle mais rígido os S5– que são cooperativas de crédito e instituições de micro porte. Ela remove a visão de segurança como “perímetro” e a transforma em uma camada intrínseca ao desenvolvimento e à operação.

• Security by Design e Governança de APIs: Exige que a segurança seja parte do ciclo de vida do desenvolvimento (SDLC). No contexto de Open Finance, a governança de APIs torna-se crítica, exigindo monitoramento de integridade e autenticação mútua (mTLS) em todas as camadas de troca de dados.
• Autenticação Adaptativa e Contextual: Embora a norma mencione “mecanismos de validação de integridade”, na prática, ela obriga a implementação de Biometria Comportamental. Isso significa que o acesso não é mais validado apenas por credenciais, mas por dados de contexto (geolocalização, telemetria do dispositivo, cadência de digitação e histórico de navegação), permitindo o bloqueio de acessos que desviem do padrão biométrico do usuário.
• Continuidade e Backup – Reforça a necessidade de planos de continuidade de negócios que sobrevivam a ataques de ransomware, exigindo cópias de dados isoladas da rede principal para garantir a recuperação em cenários de desastre.

3. Resolução BCB nº 501/2025

Focada na operação do dia a dia e no combate às contas “laranjas”. Exige o bloqueio cautelar automático. Se o sistema de cibersegurança detectar um acesso vindo de um dispositivo novo com comportamento de digitação suspeito, a norma dá o respaldo legal (e a obrigação) para o banco travar a conta preventivamente.

4. Resolução BCB nº 342/2023 (atualizada em 2025)

Embora um pouco mais antiga, ela foi o “pontapé” para a obrigatoriedade de avisar os clientes sobre incidentes de segurança no Pix. Exige transparência total. Se houver um vazamento de chaves ou dados, a instituição tem um prazo curtíssimo para notificar o BC e o cliente, sob pena de multas pesadas baseadas no volume de transações.

Por que essas normas surgiram agora?

O regulador percebeu que as instituições estavam sendo “reativas”, principalmente com as Resoluções 538 e 5.274, o BC mudou o jogo para “Segurança Ativa”:

1. Pentests Contínuos: O teste de invasão deixou de ser um check-list anual para se tornar um processo documentado e recorrente.
2. Responsabilidade por Terceiros: Se o banco usa uma nuvem (AWS, Azure, Google) ou um parceiro de biometria, ele é o responsável legal por qualquer falha cibernética desse terceiro.

Quando falamos de segurança cibernética no setor financeiro sob a ótica das novas resoluções do BACEN (Res. 538/2025 e CMN 5.274/2025), o uso de SSL (tecnicamente sucedido pelo TLS) não é mais apenas uma “recomendação de boas práticas”, mas um requisito de infraestrutura crítica.

O impacto não está na existência do SSL em si (que é o básico), mas no nível de exigência sobre como ele é implementado.

Os 3 grandes impactos e mudanças exigidas pelas novas normas

1. Do SSL ao TLS 1.3 (O Fim de Protocolos Obsoletos)

O BACEN agora exige que as instituições garantam a “interoperabilidade segura”. Isso significa que o uso de versões antigas de SSL (2.0, 3.0) ou TLS (1.0, 1.1) é considerada uma falha de conformidade grave.

• Impacto: As instituições tiveram que desativar o suporte a protocolos legados para evitar ataques de downgrade (onde o hacker força a conexão a usar uma versão fraca do SSL para quebrá-la).
• Padrão Atual: O mercado está migrando massivamente para o TLS 1.3, que é mais rápido e elimina algoritmos de criptografia vulneráveis.

2. mTLS (Mutual TLS) no Open Finance

Este é o impacto mais profundo para desenvolvedores e arquitetos de segurança. No Open Finance, não basta o cliente (ou o BC) confiar no servidor; o servidor também precisa autenticar o cliente via certificado.

• O que é: O Mutual TLS exige certificados digitais de ambos os lados da comunicação.
• Impacto: Isso cria uma camada de identidade digital vinculada a ICP-Brasil. Se uma chave de API for vazada, ela não serve de nada sem o certificado digital correspondente (armazenado em HSM – Hardware Security Module). Isso mata o tipo de ataque de “Man-in-the-Middle”.

3. Inspeção de Tráfego e “SSL Interception”

Com a exigência de monitoramento de ameaças em tempo real (Res. 538), as instituições enfrentam um dilema técnico: como inspecionar o tráfego em busca de malwares se tudo está criptografado via SSL?

• Impacto: Os bancos estão investindo em ferramentas de SSL Inspection (Deep Packet Inspection). Elas “abrem” o tráfego criptografado dentro de um ambiente seguro (DMZ ou Zona Desmilitarizada), analisam se há comandos de fraude ou injeção de código, e o criptografam novamente antes de enviar ao destino. A DMZé uma sub-rede física ou lógica que atua como uma camada de isolamento entre a rede interna confiável de um banco (onde estão os dados dos clientes e o core banking) e uma rede externa não confiável (a Internet).
• Risco Regulatório: O banco precisa garantir que essa inspeção não viole a LGPD (Lei Geral de Proteção de Dados), mantendo a privacidade dos dados sensíveis do cliente durante o processo.

SSL/TLS na Regulação 2026

Temos que ressaltar que existe um erro comum: Muitas empresas focam apenas no certificado do site (HTTPS), mas o BACEN está cobrando o SSL/TLS também na comunicação entre servidores e no tráfego das APIs. Se a comunicação interna do banco não estiver criptografada, a instituição pode ser multada por falta de resiliência cibernética da mesma forma.

Pressão na Gestão de Certificados

1. Explosão na Quantidade (Microsserviços e mTLS): As regulações (Res. 538 e o Open Finance) exigem que a comunicação não seja apenas criptografada entre o “cliente e o site”, mas em cada etapa interna. Com a arquitetura de microsserviços, cada “Serviço/API” do banco agora precisa de seu próprio certificado TLS para falar com o outro (mTLS). O número de certificados saltou de dezenas para milhares em instituições médias.
2. Ciclo de Vida Curto (90 dias): O mercado global (liderado pelo Google e autoridades certificadoras) está reduzindo a validade dos certificados SSL/TLS para 90 dias (e há discussões para baixar para 45 dias). Portanto o impacto será que o esforço de renovação anual agora acontece 4 vezes por ano. Se você faz isso manualmente, a chance de erro humano é de quase 100%.
3. Rigor do BACEN (Indisponibilidade = Multa): Um certificado vencido derruba o serviço. Para o BACEN, uma queda de serviço em função de um certificado vencido é uma falha de Resiliência Cibernética, conforme Res. CMN 5.274/2025. O banco não perde apenas o acesso do cliente; ele pode ser punido por má gestão de ativos críticos.

Impactos Operacionais

O Fim da Gestão Manual

O impacto real é que não existe mais espaço para o “esquecimento”. As novas normas do BACEN, somadas à redução da validade dos certificados, forçam os bancos a tratar SSL/TLS como código (Infrastructure as Code). Quem não automatizar a renovação terá incidentes recorrentes de indisponibilidade, o que atrairá a fiscalização imediata do regulador por fragilidade operacional.

Para atender ao cenário de “validade curta” (90 dias) e ao rigor do BACEN (Resolução BCB nº 538/2025 e CMN nº 5.274/2025), o mercado financeiro brasileiro em 2026 está trabalhando com o uso de ferramentas de CLM (Certificate Lifecycle Management).

Essas ferramentas não apenas emitem certificados, mas gerenciam a descoberta, renovação e instalação automática.

Alguns fornecedoras de CLM divididas por perfil de uso

1. Líderes de Mercado (Enterprise – S1/S2)

Sectigo Certificate Manager (SCM) – Uma solução agnóstica e robusta para a gestão centralizada do ciclo de vida de certificados (CLM) – https://www.sectigo.com/enterprise-solutions/certificate-manager

• Diferencial: Destaca-se pela sua capacidade “multi-CA”, permitindo que a instituição gerencie certificados emitidos por diferentes autoridades (inclusive de concorrentes) em um único painel. Oferece suporte nativo e simplificado ao protocolo ACME, facilitando a transição para ciclos de renovação curtos sem a necessidade de substituição da infraestrutura atual.
• Uso no Brasil: Utilizada por bancos e fintechs que possuem um parque tecnológico heterogêneo e desejam evitar o “vendor lock-in”, mantendo o controle total sobre o inventário de certificados públicos e privados exigido pelas auditorias da Resolução 538. Seu principal distribuidor no Brasil é a V/Cert. https://validcertificadora.com.br/collections/ssl-sectigo

GlobalSign Atlas – Uma plataforma de identidade de máquina de alta performance, focada em automação em larga escala para empresas Enterprise – https://www.globalsign.com/pt-br/atlas

• Diferencial: Utiliza uma arquitetura baseada em nuvem projetada para emitir certificados em volumes massivos com latência mínima. Seu motor de automação permite a integração direta com diretórios corporativos (Active Directory) e ferramentas de MDM, facilitando a gestão de identidades não apenas em servidores, mas em dispositivos finais.
• Uso no Brasil: É muito procurada por instituições que precisam conciliar a emissão de certificados padrão ICP-Brasil com a agilidade de uma CA global, permitindo que o banco gerencie de forma centralizada tanto o tráfego externo quanto a criptografia de identidades internas. Seu principal distribuidor no Brasil é a Soluti. https://www.soluti.com.br/certificado-digital/certificado-ssl/

DigiCert Trust Lifecycle Manager – Uma solução unificada que combina a autoridade de certificação (CA) com a gestão completa do ciclo de vida (CLM) – https://www.digicert.com/trust-lifecycle-manager

• Diferencial: Oferece uma integração nativa entre a emissão de certificados públicos/privados e a automação da instalação. Sua arquitetura é focada em “Agilidade Criptográfica”, permitindo a substituição em massa de certificados em caso de vulnerabilidades de algoritmos ou chaves comprometidas.
• Uso no Brasil: É uma escolha estratégica para instituições que buscam centralizar a governança em um único provedor de confiança global, facilitando o cumprimento das janelas de renovação de 90 dias através de uma interface simplificada que reduz o overhead operacional das equipes de segurança.

Venafi (The Machine Identity Management) – Forte presença no setor financeiro mundial – https://www.cyberark.com/venafi-and-cyberark-machine-identity-security/

• Diferencial: Possui um ecossistema de integração. Consegue conversar com balanceadores de carga (F5, Citrix), servidores web e autoridades certificadoras (como a GlobalSign , Sectigo ou Digicert) simultaneamente.
• Uso no Brasil: Muito utilizada para garantir a conformidade com o mTLS do Open Finance, pois automatiza a troca de certificados entre diferentes instituições parceiras.

AppViewX – Uma concorrente direta da Venafi, focada em automação de fluxos de trabalho (Workflow) – https://www.appviewx.com/

• Diferencial: Interface muito visual para desenhar o caminho que um certificado percorre — desde o pedido do desenvolvedor até a instalação no servidor.
• Uso no Brasil: Bancos que estão migrando para nuvem híbrida (On-premise + AWS/Azure) usam o AppViewX para ter um painel único de controle.

2. Infraestrutura e Automação (DevOps / S2 a S4)

HashiCorp Vault (PKI Secrets Engine) – Essencial para quem trabalha com infraestrutura como código (IaC) – https://developer.hashicorp.com/vault/docs/secrets/pki

• Diferencial: Ele atua como uma Autoridade Certificadora (CA) Interna. Ele pode gerar certificados na hora com validade de minutos ou horas para comunicação entre servidores internos.
• Uso no Brasil: Essencial para cumprir a exigência de “criptografia em trânsito” dentro do data center, sem que ninguém precise instalar certificados manualmente.

Jetstack cert-manager – A ferramenta para quem roda em Kubernetes – https://cert-manager.io/

• Diferencial: É nativo do Kubernetes e automatiza a obtenção de certificados via protocolo ACME (o mesmo do Let’s Encrypt).
• Uso no Brasil: Fintechs e bancos digitais usam para garantir que os certificados dos seus ingress controllers nunca vençam.

3. Monitoramento e Inventário (Conformidade)

• Qualys SSL Labs – Ferramenta gratuita e amplamente usada para testes rápidos de conformidade de SSL/TLS – SSL Labs Server Test
• Entrust Certificate Hub – Focado em visibilidade e inventário de certificados em múltiplas CAs .Site Oficial Entrust

O Próximo Passo nesse processo é adequação ao Protocolo ACME

Para 2026, a palavra de ordem é o ACME (Automated Certificate Management Environment). Independentemente da ferramenta escolhida, o banco deve garantir que seus servidores suportem esse protocolo. É ele que permite que o servidor “peça” a renovação por si só 15 dias antes do vencimento, sem intervenção humana.

O ACME (Automated Certificate Management Environment) é um protocolo de comunicação projetado para automatizar completamente a interação entre um servidor web e uma Autoridade Certificadora (CA). Ele foi criado pelo grupo Internet Security Research Group (ISRG), os mesmos fundadores do Let’s Encrypt, com o objetivo de eliminar a necessidade de intervenção humana na geração, validação, instalação e renovação de certificados SSL/TLS.

Pontos chave do funcionamento do ACME:

1. Prova de Posse: O servidor (cliente ACME) entra em contato com a CA e prova que tem controle sobre o domínio (geralmente colocando um arquivo específico em uma pasta ou criando um registro DNS).
2. Emissão Automática: Uma vez validado, o protocolo solicita o certificado, baixa os arquivos e os instala no servidor.
3. Renovação Silenciosa: Antes do vencimento, o agente repete o processo sem que o administrador precise fazer nada.

O ACME é a peça fundamental para que as instituições financeiras consigam lidar com a nova realidade de certificados com validade de 90 dias, pois torna o erro humano impossível.

Da Conformidade à Resiliência

Em última análise, as novas exigências do Banco Central transformaram a segurança cibernética de um custo operacional em um pilar de sobrevivência institucional. O tempo em que a gestão de certificados e chaves criptográficas era feita de forma manual e isolada ficou para trás. Em 2026, a conformidade exige automação.

Ao adotar o protocolo ACME e ferramentas de CLM, as instituições financeiras não estão apenas evitando multas ou quedas de sistema; elas estão construindo a infraestrutura necessária para suportar a economia digital do futuro, onde a confiança é garantida por código, e a resposta a fraudes acontece na velocidade dos bits. O mercado não perdoa mais o “esquecimento” — a resiliência agora é automatizada ou não existe.

Glossário essencial

BACEN (Banco Central do Brasil) — Regulador do sistema financeiro
CMN (Conselho Monetário Nacional) — Define diretrizes econômicas
Pix (Sistema de pagamentos instantâneos) — Transferências em tempo real
MED (Mecanismo Especial de Devolução) — Recuperação de valores via Pix
BC Protege+ (Serviço do Banco Central) — Bloqueio de CPF/CNPJ contra fraudes
Open Finance (Sistema financeiro aberto) — Compartilhamento de dados entre instituições
API (Interface de Programação de Aplicações) — Conexão entre sistemas
MFA (Autenticação Multifator) — Verificação em múltiplas etapas
2FA (Autenticação em Dois Fatores) — Dupla verificação de identidade
TLS (Transport Layer Security) — Protocolo de criptografia de dados
SSL (Secure Sockets Layer) — Versão antiga de criptografia (obsoleta)
mTLS (Mutual Transport Layer Security) — Autenticação dupla entre sistemas
LGPD (Lei Geral de Proteção de Dados) — Regula o uso de dados pessoais
Red Teaming (Simulação de ataques) — Testes práticos de segurança cibernética
ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) — Certificação digital oficial
HSM (Hardware Security Module) — Proteção de chaves criptográficas
CLM (Gestão do ciclo de vida de certificados) — Controle de certificados digitais
ACME (Ambiente Automatizado de Gestão de Certificados) — Automação de emissão e renovação
DMZ (Zona Desmilitarizada) — Área isolada de segurança de rede

Segurança cibernética no setor financeiro: A resolução do Banco Central e o imperativo da adaptação

Do “Sim ou Não” ao fluxo contínuo: a nova arquitetura do crédito

Sobre Susana Taboas

Susana Taboas | COO – Chief Operating Officer – CryptoID. Economista com MBA em Finanças pelo IBMEC-RJ e diversos cursos de extensão na FGV, INSEAD e Harvard University. Durante mais 25 anos atuou em posições no C-Level de empresas nacionais e internacionais acumulando ampla experiência na definição e implementação de projetos de médio e longo prazo nas áreas de Planejamento Estratégico, Structured Finance, Governança Corporativa e RH. Atualmente é Sócia fundadora do Portal Crypto ID e da Insania Publicidade.

Leia outros artigos escritos por Susana.

Acesse o Linkedin da Susana!

Criptografia Forte é o Padrão que Mantém Bilhões de Pessoas Seguras Todos os Dias

Leia mais sobre Criptografia em uma coluna dedicada ao tema!

Conheça nossa coluna sobre o Mercado Financeiro, leia outros artigos e acompanhe os principais eventos do setor.

Siga o Crypto ID no LinkedIn agora mesmo!