Com o encerramento do prazo para adequação dos novos requisitos de Segurança Cibernética de Instituições Financeiras, estabelecido pelo Banco Central do Brasil até esse fim de semana, direciona as organizações bancárias a reverem sua percepção da Cibersegurança como um conceito mais estratégico e menos técnico, de forma a elevar a confiança da população nas ferramentas digitais do setor.
Essa percepção foi apontada pelo CISO Advisor, Paulo Condutta, em entrevista à Security Report sobre o tema. Segundo o executivo, as alterações estabelecem um padrão mínimo para reforçar a capacidade de resiliência desse setor diante do mercado, abrindo também a possibilidade de seguir se adaptando conforme novas tecnologias sigam se disseminando no mercado, como a Inteligência Artificial.
“Com isso, as instituições devem priorizar controle e governança da Cyber, aplicando ações ao nível estratégico e com independência da área técnica. Isso permite alinhar as fronteiras de defesa com o risco estabelecido dentro da organização pela cadeia executiva e colocando a Segurança como uma necessidade operacional para todo o setor financeiro”, explica Condutta.
O fim do prazo também abre um contexto de fiscalização do Bacen, permitindo à autoridade monetária reforçar o processo de diligência que garante a devida adaptação de todas as instituições financeiras, ou um processo definitivo de novos controles de resiliência. A tendência também é que o regulador promova novo “self assessment” para avaliar a implementação de compliance e atue sobre as organizações não adequadas.
O CISO analisa que o contexto de controle já era aplicado por IFs que detinham maior maturidade de Cibersegurança e que usavam frameworks com uma abordagem completa. Mas, na visão dele, a maioria ainda não tinha maturidade, e teve ou terá que correr contra o tempo para estar preparada a uma fiscalização que será aplicada pelo regulador, colocando a Cibersegurança em uma linha mais estratégica.
“A conformidade, nesse contexto, não é ‘checklist’, mas um posicionamento estratégico para reduzir risco regulatório e operacional e sustentar escala de confiança do cliente com uma atuação independente e necessária dentro da instituição. No contexto executivo, coloca a Cibersegurança como uma necessidade operacional e de resiliência, que vai além das questões técnicas que hoje algumas casas ainda atuam”, conclui.
Novos requisitos após incidentes no Pix
As mudanças nos critérios de Segurança do Banco Central para as instituições financeiras foram estabelecidas como forma de reduzir riscos de novos incidentes, à luz das ocorrências no segundo semestre de 2025. Essa percepção foi documentada na edição mais recente do Relatório de Estabilidade Financeira (REF), em que foi detectado um aumento significativo dos incidentes cibernéticos nos últimos dois anos.
Na época, os CISOs da comunidade Security Leaders defenderam a decisão da autoridade monetária, apontando a necessidade de se fortalecer aqueles que são os elos mais fracos da Segurança, em favor de ampliar a proteção em toda a cadeia. Isso apenas poderá ser feito se todos estiverem nivelados pelo mesmo padrão.
“O desafio do BC agora é o equilíbrio, pois a linha entre inovação e segurança é fina: Se pesar demais, trava o mercado. Se relaxar, o risco explode. A pergunta que a autoridade e o país precisam responder agora é se vamos conseguir manter uma referência na resiliência cibernética do meio financeiro, e entendo que o movimento feito até agora aponta para essa direção”, disse então um dos CISOs, sob a condição de anonimato.
