Filie-se
Notícias.LIDE
TRENDING
Fogo A Conquista de Aegon: Conheça a história do novo filme de Game of Thrones Fogo PLDO prevê déficit das estatais federais de R$ 7,5 bi em 2027, com queda em 2028 e 2029 Fogo Prédio em SC afunda, fere moradores e local é evacuado às pressas Fogo ASA, de Alberto Safra, anuncia expansão do Private Banking para EUA e América Latina Fogo Europa alerta: risco de cancelamento de voos após crise do petróleo gerada pela guerra no Irã Fogo Guerra no Oriente Médio mantém incerteza excepcionalmente alta, diz diretor do FMI Fogo Bernardo Silva anuncia fim de ciclo no Manchester City: Saio como mais um torcedor Fogo Guimarães: bets estão em discussão no governo, mas Congresso só tem interesse em regulamentar Fogo Noite das Livrarias promete movimentar 80 espaços em 30 cidades brasileiras Fogo Programa da Eurofarma é primeira iniciativa de redução de preços para semaglutida no País
Opinião

Nova regulamentação do Banco Central acelera a maturidade em cibersegurança no setor financeiro

Sob a nova Banco Central do Brasil nº 538/2025, instituições financeiras são pressionadas a integrar tecnologia, governança e cultura organizacional para enfrentar riscos cibernéticos cada vez mais sistêmicos.

15 de abril de 2026 por RAFAEL PERUCH, CONSULTOR TÉCNICO CISO DA KNOWBE4

_F9A6817_OriginalRafael Peruch, Consultor Técnico CISO da KnowBe4. (Foto: Divulgação)

No último mês, entrou em vigor a Regulamentação nº 538/2025 do Banco Central, que estabelece novos requisitos de cibersegurança para instituições financeiras no Brasil. À primeira vista, pode parecer apenas mais uma atualização técnica de compliance. Na prática, porém, a medida sinaliza algo mais profundo: a cibersegurança deixou de ser um tema restrito à área de tecnologia e passou a ocupar um papel central na governança e na estratégia das instituições financeiras.

A medida amplia responsabilidades relacionadas ao uso de computação em nuvem, à comunicação de dados e às operações dentro do Sistema Financeiro Nacional. Entre as exigências estão testes periódicos de penetração, controles mais rigorosos de acesso e rastreabilidade, autenticação multifatorial, isolamento de ambientes críticos e critérios mais rígidos para gestão de certificados digitais, chaves privadas e fornecedores terceirizados.

A norma também introduz medidas de prevenção a vazamento de dados, fortalecimento das capacidades de inteligência cibernética e a realização de testes anuais conduzidos por terceiros independentes. Em conjunto, essas exigências refletem a crescente complexidade de um ecossistema financeiro que se digitalizou rapidamente nos últimos anos, impulsionado por inovações como o Pix e pela expansão do uso de infraestrutura em nuvem.

No entanto, olhar apenas para o lado técnico da regulamentação seria um erro. Na minha avaliação, a mudança mais relevante está nas expectativas de governança que ela estabelece. A norma atribui maior responsabilidade aos conselhos e à alta liderança na supervisão de cibersegurança e exige uma integração mais próxima entre tecnologia, compliance e gestão de riscos. Na prática, isso significa que as instituições precisarão revisar fluxos internos, definir responsabilidades com mais clareza e garantir que os controles de segurança não estejam isolados, mas incorporados ao funcionamento da organização como um todo. Hoje, a maturidade em cibersegurança também envolve processos e tomada de decisões.

Algumas organizações podem argumentar que essas novas exigências apenas aumentam a pressão regulatória e a complexidade operacional. Os prazos de adequação são desafiadores e a implementação de novos controles frequentemente exige investimentos adicionais e coordenação interna. Apesar disso, olhando para o cenário mais amplo, essas medidas respondem a um ambiente de risco real. À medida que os serviços financeiros se tornam mais digitais e interconectados, o impacto potencial de incidentes cibernéticos cresce - não apenas para as instituições, mas também para clientes e para a estabilidade do próprio sistema financeiro.

Um aspecto crítico que não pode ser ignorado é o fator humano. Apesar dos avanços tecnológicos, erros humanos continuam entre as principais causas de incidentes de segurança - seja por uso inadequado de credenciais, ataques de phishing ou gestão incorreta de acessos. Em setores altamente regulados como o financeiro, esses erros não representam apenas risco operacional, mas também exposição regulatória e reputacional.

Dados do relatório Phishing by Industry Benchmarking Report 2025, da KnowBe4, mostram que organizações que implementaram programas estruturados de treinamento em segurança reduziram a suscetibilidade a ataques de phishing em até 86% ao longo de 12 meses. Isso demonstra que fortalecer a cultura de segurança e a conscientização comportamental pode reduzir significativamente as vulnerabilidades.

Por isso, a mudança não deve ser vista apenas como uma obrigação de compliance. Ela representa uma oportunidade para que as instituições financeiras repensem como a cibersegurança é gerida em três dimensões fundamentais: pessoas, processos e tecnologia. Organizações que tratam segurança como uma questão estratégica de governança - e não apenas como um requisito técnico - estarão mais preparadas.

A questão central, portanto, não é apenas cumprir as novas exigências regulatórias. É entender se as instituições estão realmente preparadas - em termos de pessoas, processos e cultura - para lidar com um cenário em que o risco cibernético passa a ser também um risco sistêmico.