Mais do que endurecer as regras de segurança cibernética para assegurar a credibilidade das instituições financeiras devido ao aumento dos ataques hackers, o Banco Central levou a cibersegurança para além dos muros da TI ao exigir papéis claros e definições de responsabilidades. A mudança a partir da resolução nº 538 é significativa. O momento é de rever os princípios de segurança, que passam a ser padrão na arquitetura, estendendo-se ao desenvolvimento de sistemas, adoção de novas tecnologias e até mesmo soluções de terceiros (provedores de nuvem, provedores de serviços de tecnologia da informação etc.).
O Banco Central deu um passo relevante para que a cibersegurança deixe de ser um tema da área de TI e tenha a participação direta da alta administração da organização, com definição clara de papéis e responsabilidades. Essa mudança foi determinada pela Resolução nº 538, que está completando 60 dias em vigor. A nova regra está diretamente ligada à crescente digitalização do setor e à implantação do Pix, que ampliou o tráfego na Rede do Sistema Financeiro Nacional (RSFN).
No cerne, a BCB nº 538 endurece as regras de segurança cibernética para Instituições de Pagamento (IPs), corretoras e distribuidoras, tornando-as mais prescritivas e técnicas, exigindo controles rigorosos sobre credenciais, certificados digitais e validação de integridade fim a fim nas transações.
A iniciativa buscou uniformizar o ambiente regulatório e fortalecer a segurança das infraestruturas de comunicação de dados e dos sistemas de pagamentos do Sistema Financeiro Nacional (SFN) e do Sistema de Pagamentos Brasileiro (SPB). O aprimoramento é uma resposta à crescente digitalização do setor e à implantação do Pix, que ampliou o tráfego na Rede do Sistema Financeiro Nacional (RSFN).
“Serão necessárias mudanças relevantes de política de segurança de informação, adoção de tecnologias e mudanças importantes para o ciclo de vida de desenvolvimento de software”
Fernando Souza, líder de plataforma de automação na IBM
“Isso é especialmente relevante para as fintechs, que operam com alto grau de digitalização e, por isso, estão na linha de frente da adoção de práticas mais avançadas de segurança e governança tecnológica. A resolução fortalece a confiança no ecossistema ao aproximar práticas locais de padrões internacionais e reduzir assimetrias entre instituições com diferentes níveis de maturidade”, avalia Beatriz Krauss, diretora-executiva da Associação Brasileira de Fintechs (ABFintechs).
Fernando Souza, líder de plataforma de automação na IBM, pondera que as regulamentações sempre foram bastante exigentes, mas que a velocidade das inovações no setor trouxe novos riscos. “O que antes era considerado um conjunto de melhores práticas passou a ser uma coleção de itens obrigatórios e auditados dentro da política de cibersegurança dos participantes do sistema financeiro”, afirma. “Serão necessárias mudanças relevantes de política de segurança de informação, adoção de tecnologias e mudanças importantes para o ciclo de vida de desenvolvimento de software”, complementa.
O prazo para a adequação das instituições às novas regras encerrou-se em 1º de março de 2026. Para as fintechs, a adequação ocorreu por meio de revisão de arquitetura tecnológica, fortalecimento de controles de acesso e consolidação de mecanismos de monitoramento contínuo. “Houve também um esforço relevante de organização interna, conectando áreas de tecnologia, risco e compliance em uma governança mais integrada. Em muitos casos, práticas que já existiam foram formalizadas, padronizadas e documentadas de forma a permitir sua demonstração prática perante auditorias e regulador”, diz Krauss.
Como a resolução estabelece um patamar mínimo de segurança independentemente do porte da instituição, as instituições devem pensar em conformidade e segurança como decisão arquitetural, e não mais como uma disciplina isolada e focada em políticas. Até porque a norma requer a transição de um modelo declaratório para um modelo baseado em evidências.
“Isso exigiu não apenas tecnologia, mas consistência operacional, com definição clara de métricas, rotinas de validação e capacidade de demonstrar funcionamento contínuo dos controles”, acrescenta a executiva. Outros pontos críticos foram a integração entre sistemas existentes, as novas exigências de rastreabilidade e monitoramento e a tradução de requisitos regulatórios em implementações técnicas objetivas, especialmente em estruturas mais enxutas.
Além disso, instituições de menor porte enfrentaram restrições de orçamento e escassez de profissionais especializados. Parte dessas dificuldades foi superada com o uso de soluções gerenciadas, serviços em nuvem e parcerias tecnológicas que reduziram a complexidade de implementação.
A evidência técnica vem sendo demonstrada por meio de registros auditáveis, relatórios de testes periódicos, simulações de incidentes e indicadores operacionais como tempo de detecção e resposta. “A capacidade de apresentar evidências de forma contínua, e não apenas em momentos específicos, passou a ser um elemento central. Isso mostra que os controles estão ativos, funcionando e sendo monitorados de forma consistente”, acrescenta Krauss.
Tecnologia como aliada
Com relação a ferramentas, Fernando Souza aponta como possíveis desafios os custos elevados para montar um centro de operações de segurança (SOC, na sigla em inglês para security operation center), a implementação de soluções de segurança para empresas (SIEM, de security incident event management) e o gerenciamento de identidades e acesso (IAM, de identity access management) – além do fornecimento das evidências técnicas desses controles.
O especialista também explica que as entidades precisam fazer a adequação das equipes de desenvolvimento e operações para a nova realidade, em que as práticas e soluções e de segurança serão centrais para a permanência no Sistema Financeiro Nacional, a tempo de atender à resolução.
O Banco Central não espera que as fintechs repliquem a estrutura dos grandes bancos, o que inviabilizaria a adaptação. “O uso de soluções integradas e automação será crucial nessa adaptação; do contrário, o princípio-base da resolução, que é fornecer as evidências dos mecanismos de segurança, vai se tornar um desafio operacional enorme”, pontua o líder de plataforma de automação na IBM.
De acordo com ele, a cibersegurança deixa de ser um tema da área de TI e passa a ter valor na alta administração da empresa, com definição clara de papéis e responsabilidades. “Os princípios de segurança passam a ser padrão na arquitetura, estendendo-se ao desenvolvimento de sistemas, adoção de novas tecnologias e até mesmo soluções de terceiros (provedores de nuvem, provedores de serviços de tecnologia da informação etc.)”, detalha Souza.
“A capacidade de apresentar evidências de forma contínua, e não apenas em momentos específicos, passou a ser um elemento central. Isso mostra que os controles estão ativos, funcionando e sendo monitorados de forma consistente”
Beatriz Krauss, diretora-executiva da Associação Brasileira de Fintechs (ABFintechs).
O caminho predominante das fintechs foi a construção de uma base estruturante, evitando soluções pontuais. “Isso incluiu a evolução de processos de gestão de identidade e acesso, revisão de perfis de privilégio, automação de controles e integração da segurança ao ciclo de desenvolvimento. As instituições que trataram a adequação como uma transformação conseguiram estabelecer uma base escalável, preparada para suportar crescimento, novos produtos e aumento de volume operacional”, diz a diretora-executiva da ABFintechs.
No segundo mês em que a resolução de fato está em vigor, Fernando Souza considera que, mesmo em grandes instituições, que tradicionalmente já faziam as validações, o desafio está em justamente pensar no uso de uma arquitetura audit-ready. “O Banco Central não vai perguntar se você tem os controles; vai pedir para mostrar que eles estão funcionando. Isso é uma mudança significativa para instituições de todos os tamanhos”, avalia o executivo.
Gestão da identidade como chave
Trata-se de uma evolução constante, com a disciplina de gestão de acesso sendo chave para o cumprimento da resolução. Cada acesso precisa ser autenticado, autorizado e verificável, sendo necessário diferenciar identidades humanas e não-humanas, como APIs, microsserviços e contas de serviço.
“O princípio do privilégio mínimo, o uso de múltiplo fator de autenticação e a integração do IAM com logs e eventos de segurança são cruciais no cenário atual, em que o BaaS (banking as a service) e o consumo de APIs está amplamente disseminado. Essa mudança estabelece a identidade como o novo perímetro de segurança, e não mais a rede”, explica Souza.
Ele ressalta que as empresas que entenderem a gestão de identidades como um componente arquitetural – e não apenas como um item regulatório – terão vantagem competitiva. “A gestão de identidade é um requisito crítico para escalar, torna-se a base da rastreabilidade e reduz drasticamente o risco sistêmico de todo o sistema financeiro. Em tempos em que as identidades não-humanas estão em crescimento exponencial por conta inclusive de agentes de IA, não vejo um futuro no qual a gestão de identidades não será by default e by design nas instituições financeiras”, completa.
Beatriz Krauss, da ABFintechs, concorda que a resolução reforçou o papel central da identidade como elemento de controle de risco. “Houve avanço na gestão do ciclo de vida de acessos, maior rigor na concessão e revisão de privilégios e uso mais inteligente de dados para tomada de decisão”, diz. Com isso, a tecnologia deixou de ser apenas um instrumento de conformidade e passou a sustentar processos críticos, influenciando diretamente a prevenção de fraudes, a segurança das operações e a experiência do usuário.
A executiva considera que o modelo, quando implementado de forma estruturada, não apenas sustenta a operação atual como cria condições para um crescimento seguro, uma vez que prima pela padronização de controles, e a automação e a visibilidade operacional aumentam a previsibilidade e reduzem riscos à medida que a instituição escala. “O principal ponto de atenção é garantir que esse modelo seja continuamente revisado e atualizado, acompanhando a evolução tecnológica e o cenário de ameaças”, conclui.
