A resolução do Banco Central é um marco necessário para o aprimoramento da segurança cibernética no sistema financeiro brasileiro
Por Carlos Rust
A segurança cibernética deixou de ser um diferencial competitivo e tornou-se um pilar inegociável para qualquer instituição financeira.
Em um ambiente de forte digitalização de serviços, margens pressionadas e aumento da exposição a fraudes eletrônicas, a nova resolução do Banco Central do Brasil, que estabelece diretrizes para a política de segurança cibernética, adiciona uma camada de exigência regulatória a esse cenário.
Com a iminente entrada em vigor da norma, instituições e prestadores de serviço correm contra o tempo para se adequar até 1º de março. Mas o que, de fato, muda, e quais desafios e oportunidades essa agenda traz para o mercado?
A nova normativa detalha os requisitos para a política de segurança cibernética e, de forma explícita, para a contratação de serviços de processamento, armazenamento de dados e computação em nuvem. Na prática, ela eleva o nível de exigência para todas as instituições autorizadas a funcionar pelo Banco Central e para a sua cadeia de fornecedores de tecnologia e serviços.
É verdade que as grandes instituições financeiras, em geral, já contam com estruturas mais maduras de cibersegurança. O desafio tende a ser maior para pequenas e médias empresas (PMEs) do ecossistema, inclusive fintechs e prestadores terceirizados, que muitas vezes operam com restrições orçamentárias ou com a percepção equivocada de que “isso não vai acontecer conosco“. Economizar em segurança cibernética, porém, não traz benefício sustentável: a falta de investimento adequado pode gerar impactos operacionais, regulatórios e reputacionais difíceis de absorver.
Em um setor que movimenta grandes volumes e está no centro da economia, os ataques cibernéticos são constantes e crescem em volume e sofisticação. A proteção deixa de ser opcional e passa a integrar o custo estrutural do negócio, assim como conformidade regulatória, auditoria e gestão de risco.
Um dos pontos mais relevantes (e corretos) da nova regulamentação é a definição clara de responsabilidades em casos de terceirização. O próprio título da resolução já menciona “requisitos para contratação de serviços de processamento e armazenamento de dados“.
Isso significa que, se uma instituição financeira contrata um prestador de serviços de TI e esse fornecedor sofre um ataque que compromete dados ou a continuidade operacional, a responsabilidade final permanece com a instituição regulada.
Tivemos, recentemente, casos em que ataques a pequenas empresas terceirizadas acabaram contaminando o ambiente de grandes instituições, demonstrando que a cadeia de segurança é tão forte quanto o seu elo mais fraco. Ao terceirizar, não basta avaliar preço e prazo: é imprescindível checar se o parceiro atende rigorosamente às exigências do Banco Central.
Os criminosos cibernéticos estão em constante evolução, fazendo uso de inteligência artificial e de técnicas cada vez mais avançadas. Essa dinâmica exige que a defesa seja igualmente contínua e adaptável.
O que é suficiente em 1º de março pode demandar revisão em poucos meses. Políticas, processos e controles não podem ser tratados como documentos estáticos, e sim como instrumentos vivos de gestão de risco.
Nesse contexto, a vulnerabilidade humana permanece como o grande calcanhar de Aquiles da segurança cibernética. Estudos de mercado indicam que a maior parte dos incidentes está ligada a comportamentos inadequados: uso de senhas fracas, ausência de autenticação em duas etapas, clique em links maliciosos ou compartilhamento indevido de informações. Educação e treinamento contínuo são fundamentais para mitigar esses riscos.
Trata-se de um processo de letramento digital que deve começar cedo, ainda na escola, e ser reforçado de forma permanente dentro das organizações, para que todos compreendam o impacto de suas ações na segurança coletiva.
Como se adequar na prática
Para as empresas que ainda buscam se adequar, especialmente as de menor porte, a primeira recomendação é clara: não tentar fazer tudo sozinho, nem sem um plano estruturado. Contar com uma consultoria especializada pode ser determinante.
Profissionais experientes são capazes de realizar um diagnóstico preciso, desenhar um plano de adequação sob medida e apoiar a implementação em “ondas“, priorizando os pontos mais críticos e evoluindo a maturidade de cibersegurança de forma gradual, porém consistente.
A resolução do Banco Central é um marco necessário para o aprimoramento da segurança cibernética no sistema financeiro brasileiro. Ela estabelece um patamar de exigência que, embora desafiador, é vital para a proteção de instituições, clientes e da própria estabilidade do sistema.
Para quem está dentro do perímetro regulatório, não se trata de escolher se vai cumprir: o cumprimento é obrigatório. As punições já estão previstas e o custo da não conformidade tende a ser muito maior do que qualquer investimento em segurança, especialmente quando se consideram as perdas reputacionais, que muitas vezes superam, em valor e duração, as perdas financeiras imediatas.
O cenário é de evolução contínua. Investir em tecnologia, processos e, sobretudo, em pessoas é condição para que o sistema financeiro brasileiro siga entre os mais seguros e confiáveis do mundo, mesmo diante de um ambiente econômico desafiador e de ameaças cibernéticas em constante transformação.
Identidade digital no centro da segurança bancária: insights do Febraban Sec 2026
Automação financeira: o salto de eficiência na antecipação de recebíveis
Conheça nossa coluna sobre o Mercado Financeiro, leia outros artigos e acompanhe os principais eventos do setor.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
