Faltando menos de 30 dias para o fim do prazo, instituições financeiras autorizadas pelo Banco Central do Brasil (BCB) correm para se adequar aos novos requisitos de segurança cibernética e gestão de riscos tecnológicos, estabelecidos pelo regulador em conjunto com o Conselho Monetário Nacional (CMN) e publicados em dezembro de 2025, a Resolução CMN nº 5.274. As regras atualizam a Política de Segurança Cibernética e impõem novas obrigações de governança, prevenção e resposta a incidentes no Sistema Financeiro Nacional.
Especialistas em regulação e segurança da informação avaliam que este último mês é decisivo, especialmente para instituições que ainda não concluíram ajustes estruturais, como revisão de políticas internas, fortalecimento de controles e adequação de processos à nova lógica de responsabilização prevista nas normas. Segundo eles, o avanço da digitalização financeira e o aumento da sofisticação dos ataques cibernéticos explicam a pressão regulatória por padrões mais elevados de segurança.
Segundo Frederico Tostes, country manager da Fortinet Brasil, ao exigir controles mais robustos de identidade, segmentação de ambientes críticos, monitoramento constante, rastreabilidade e inteligência sobre ameaças externas, o Banco Central eleva o padrão para as instituições. Na prática, isso impulsiona o mercado a sair de uma lógica reativa — ou seja, que hoje é baseada em respostas pontuais a incidentes — para um modelo proativo e orientado por risco.
Esse movimento tem impacto direto na maturidade digital do país. Para as empresas, isso pode significar redução de riscos operacionais e reputacionais, além de maior confiança de clientes, parceiros e investidores, dada a ampliação da previsibilidade, menor superfície de ataque e maior capacidade de sustentar a inovação digital com segurança.
Para Maísa Amaral, Chief Legal Officer da Lerian, startup brasileira especializada em infraestrutura financeira source avaliable, o último mês antes do vencimento do prazo representa um teste de capacidade técnica e maturidade operacional do setor. “O prazo de 1º de março exige que instituições priorizem três frentes simultâneas: implementação de controles técnicos obrigatórios, como testes de intrusão e monitoramento de Deep Web; estruturação de governança com segregação de funções e diretor responsável por segurança cibernética; e preparação de evidências auditáveis para o Bacen. Para instituições com estruturas enxutas, isso significa escolher soluções que entreguem conformidade sem adicionar complexidade operacional. Arquitetura bem desenhada reduz custo de adequação e acelera time-to-market.”, afirma Amaral.
O executivo da Fortinet destaca que outro ponto central da Resolução CMN nº 5.274 é a integração entre tecnologia, processos e pessoas. “Nesse contexto, plataformas de segurança integradas permitem que empresas consolidem a gestão de identidades, protejam redes e aplicações, monitorem ambientes internos e externos com profunda visibilidade, detectem comportamentos anômalos e automatizem respostas a incidentes, tudo de forma coordenada e extremamente mais rápida. Para os líderes operacionais e executivos, o valor extrapola a tecnologia em si e se soma à capacidade de orquestrar decisões rápidas e informadas diante de cenários de risco”, explica Tostes.
Outro mérito da resolução seria reconhecer que a complexidade dos ambientes digitais de atualmente exige automação e inteligência. Monitorar acessos fora do padrão, identificar dispositivos não autorizados, detectar vazamentos de dados ou antecipar ameaças na internet aberta e em ambientes menos visíveis não é mais viável de forma manual.
“É nesse ponto que fornecedores globais de cibersegurança, com presença consolidada no Brasil, podem apoiar líderes e organizações. Ao oferecer soluções já alinhadas às melhores práticas internacionais, essas empresas ajudam o mercado a acelerar sua adequação regulatória, reduzir o custo operacional da segurança e, principalmente, transformar conformidade em vantagem competitiva”, complementa o country manager da Fortinet.
