Releases

Por Sylvio Sobreira Vieira, CEO & Head Consulting da SVX Consultoria

Nos últimos anos, uma onda de ataques digitais expôs fragilidades no sistema financeiro brasileiro e motivou uma reação do Banco Central, que aumentou a regulamentação sobre o tema. Somente em 2025, até outubro, o Banco Central detectou 68 incidentes cibernéticos envolvendo instituições financeiras – já ultrapassando os 59 casos de todo o ano de 2024. Em paralelo, criminosos exploraram brechas no arranjo de pagamentos instantâneos Pix para desviar mais de R$ 1,5 bilhão, em esquemas que só foram parcialmente contidos pelas autoridades.

A partir de 2024, o Banco Central intensificou a supervisão e a cobrança da Resolução nº 4.893, deixando claro que segurança cibernética deixou de ser promessa em papel e passou a ser obrigação operacional, mensurável e auditável. Não basta ter políticas escritas: o regulador passou a exigir evidências de que os controles funcionam na prática. Esse movimento ganhou força máxima em dezembro do ano passado, com a publicação da Resolução CMN nº 5.274/2025, que aprofundou e detalhou os controles mínimos de segurança já previstos. O novo normativo elevou o nível de maturidade exigido do setor financeiro, consolidando um padrão regulatório mais rigoroso em tecnologia e cibersegurança.

A Resolução nº 4.893 foi aprovada em fevereiro de 2021, pelo Conselho Monetário Nacional. O texto estabeleceu diretrizes mínimas de segurança cibernética para instituições financeiras, incluindo requisitos para contratação de computação em nuvem e proteção de dados, e já sinalizava que tecnologia e segurança deveriam sair do silo técnico para integrar a agenda de governança corporativa.

A norma exigiu políticas com responsabilidades claras da alta administração, planos de continuidade de negócios voltados a ataques cibernéticos e controles rigorosos sobre terceiros e fornecedores de TI. Ainda assim, em seus primeiros anos de vigência, o impacto foi limitado: muitas instituições trataram a exigência como um exercício formal de conformidade, sem promover mudanças estruturais na forma de governar riscos tecnológicos.

Claramente, o movimento do BC sinaliza que houve uma transição para uma “nova lógica de responsabilização” dentro das organizações, exigindo ajustes profundos em políticas internas, controles e processos. Em essência, o Banco Central reposicionou o tema: falhas de TI e cibersegurança deixaram de ser tratadas como problema exclusivo da área de tecnologia e passaram a ser encaradas como falhas de governança corporativa.

Fiscalização rigorosa e impactos recentes

A virada regulatória veio acompanhada de uma fiscalização muito mais rigorosa por parte do Banco Central. Com o prazo final de 1º de março de 2026 para adequação total às novas exigências, a autoridade monetária deixou claro que instituições fora do compliance estarão sujeitas a ações enérgicas e imediatas.

Uma das principais redefinições trazidas pelo Banco Central foi tratar tecnologia e segurança da informação como temas centrais de governança, sujeitando-os aos mesmos rigores de controle e documentação dos demais riscos corporativos. Na prática, isso significa que decisões estratégicas de TI precisam ser documentadas, justificadas e frequentemente deliberadas em comitês executivos ou no próprio conselho.

Além disso, Conselhos de Administração e diretorias executivas passam a ter um papel inegociável na gestão de tecnologia e cibersegurança. Não se trata mais de delegar tudo ao departamento de TI – espera-se que os líderes entendam os principais desafios digitais, patrocinem as iniciativas de proteção e sejam os tomadores de decisão informados quando o assunto é arquitetura de sistemas, resposta a incidentes críticos ou investimento em proteção de dados. Esse envolvimento ativo já pode ser observado tanto em exigências formais quanto em mudanças culturais no setor.

Isso inclui desde determinações de correção com prazos curtos, até multas vultosas e processos administrativos sancionadores, além do risco de restrições operacionais (como limites em operar novos produtos) e, é claro, um dano reputacional severo caso a instituição seja exposta como negligente em segurança. Ou seja, a não conformidade deixou de ser uma opção viável – o custo de ignorar os padrões agora supera, e muito, o investimento para segui-los.

Tendência de expansão para outros setores regulados

O novo padrão de governança imposto pelo Banco Central ao setor financeiro tende a irradiar efeitos para além das fronteiras bancárias. Em um mundo de riscos digitais interconectados, outros órgãos reguladores no Brasil já começam a seguir trilhas similares. O mercado de capitais, por exemplo, discute regras mais rígidas de segurança para corretoras e gestoras sob a batuta da CVM, enquanto a SUSEP (que supervisiona seguros) tem orientado seguradoras a fortalecerem políticas de segurança da informação à luz de ataques recentes no segmento.

No setor de energia e telecomunicações – considerados de infraestrutura crítica – cresce a pressão por mecanismos de regulação e fiscalização unificados em cibersegurança, em linha com a Estratégia Nacional de Cibersegurança (E-Ciber) lançada em 2025. Essa estratégia nacional, coordenada pelo GSI, propõe justamente uma governança centralizada com padrões mínimos de segurança para serviços essenciais e infraestruturas críticas, além de mecanismos mais robustos de coordenação e controle regulatório entre agências setoriais. Ou seja, o movimento do Banco Central insere-se numa tendência maior de amadurecimento da segurança cibernética no país, servindo de modelo para outros segmentos.

Em um ambiente de ameaças crescentes e transformação digital acelerada, o legado dessa mudança é claro: cibersegurança sólida passou a ser sinônimo de boa governança e gestão responsável. O engajamento ativo de dirigentes e conselheiros nas questões tecnológicas deixa de ser um diferencial e torna-se obrigatório para a sustentabilidade dos negócios. Assim, o Banco Central não apenas responde aos desafios imediatos, mas também pavimenta o caminho para um futuro no qual segurança, inovação e confiança andam de mãos dadas – um padrão que, ao que tudo indica, será em breve a norma em todos os setores críticos da economia.

Sobre a SVX Consultoria

A SVX é uma consultoria especializada em tecnologia, riscos, crises, governança de Inteligência Artificial e compliance regulatório. Atuando com foco na implementação estratégica de soluções tecnológicas avançadas, a SVX auxilia empresas de diversos setores a alcançar resultados mais assertivos, seguros e éticos com o uso da IA. Com uma equipe técnica multidisciplinar altamente qualificada, a SVX oferece auditorias detalhadas, treinamentos especializados e estratégias personalizadas, garantindo que seus clientes estejam preparados para enfrentar desafios regulatórios, éticos e tecnológicos em um cenário digital cada vez mais complexo.

Para mais informações, acesse: https://svxconsultoria.com.br