Banco Central estabelece novos requisitos de segurança cibernética para instituições financeiras
A atualização das normas visa fortalecer a segurança digital no setor financeiro brasileiro até 2026.
O Banco Central do Brasil (BC) anunciou, nesta quinta-feira (18), uma atualização significativa em sua política de segurança cibernética direcionada às instituições financeiras. A medida foi aprovada durante uma reunião do Conselho Monetário Nacional (CMN) e se alinha à crescente digitalização do setor bancário, especialmente após a implementação do sistema de pagamentos instantâneos, o Pix, que aumentou consideravelmente o tráfego na Rede do Sistema Financeiro Nacional (RSFN).
As novas diretrizes visam estabelecer requisitos mínimos para a contratação de serviços de processamento e armazenamento de dados, além de computação em nuvem. Entre as principais mudanças, destacam-se a gestão de certificados digitais, ações de inteligência cibernética, rastreabilidade de operações e a realização anual de testes de intrusão por profissionais independentes.
O Banco Central enfatizou que a atualização das regras é uma resposta necessária à evolução das ameaças cibernéticas e à necessidade de garantir um ambiente seguro para a inovação digital. “O objetivo é elevar o nível de proteção das infraestruturas, mitigar riscos e assegurar um ambiente seguro para a inovação digital”, afirmou a instituição em comunicado.
As novas exigências também ampliam o escopo de controles de segurança para o desenvolvimento de sistemas de informação, incluindo aqueles adquiridos ou desenvolvidos por terceiros. As instituições financeiras deverão se adequar a essas normas até o dia 1º de março de 2026.
Além disso, o BC reforçou a necessidade de medidas de segurança para a comunicação eletrônica de dados com a RSFN, especialmente nos ambientes do Pix e do Sistema de Transferência de Reservas (STR). As novas diretrizes incluem autenticação multifatorial, isolamento de ambientes e monitoramento rigoroso de credenciais, visando proteger as chaves privadas das instituições financeiras.
As instituições também serão obrigadas a documentar os resultados dos testes de intrusão e os planos de ação para corrigir eventuais vulnerabilidades encontradas. Esses dados deverão ser mantidos disponíveis para o Banco Central por um período de cinco anos.
Essas medidas fazem parte de uma agenda mais ampla de revisão regulatória que busca alinhar a segurança cibernética do sistema financeiro brasileiro às melhores práticas internacionais. O BC reafirma seu compromisso com a proteção das infraestruturas financeiras e a promoção de um ambiente digital seguro.
Veja também: