Banco Central torna obrigatórios os testes de invasão no sistema financeiro brasileiro
O Banco Central do Brasil (BCB), em alinhamento com o Conselho Monetário Nacional (CMN), elevou significativamente a régua da segurança cibernética no setor financeiro. Um novo conjunto de normas passa a exigir, de forma explícita, a realização periódica de testes de invasão (pentests) e o fortalecimento da governança de riscos tecnológicos por todas as instituições autorizadas a atuar no Sistema Financeiro Nacional.
As regras entram em vigor em 1º de março de 2026 e alcançam bancos tradicionais, fintechs, cooperativas de crédito, instituições de pagamento, Sociedades de Crédito Direto, Sociedades de Empréstimo entre Pessoas e demais players autorizados pelo BC. O movimento responde à digitalização acelerada dos serviços financeiros, ao uso crescente de inteligência artificial e ao avanço de ataques cibernéticos cada vez mais sofisticados e direcionados.
As exigências estão consolidadas nas Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, que substituem normativos anteriores e ampliam o escopo de obrigações em segurança da informação. Além de atualizar conceitos, essas normas endurecem os requisitos de governança, controles técnicos, monitoramento e auditoria, estabelecendo um novo patamar mínimo de proteção para o ecossistema financeiro.
Um dos pilares das novas regras é a implementação de políticas de segurança cibernética que sejam efetivas na prática, e não apenas documentos formais para cumprir tabela. As instituições terão de comprovar que seus controles de segurança estão incorporados ao dia a dia da operação e ao ciclo de desenvolvimento de sistemas, inclusive quando utilizarem IA para automatizar processos ou gerar código.
Entre as medidas técnicas exigidas, ganham destaque:
– mecanismos de autenticação forte para acesso a sistemas internos e canais de atendimento digitais;
– processos estruturados de gestão de vulnerabilidades, incluindo detecção, priorização e correção;
– uso consistente de criptografia para dados em trânsito e em repouso;
– segmentação e proteção das redes internas, reduzindo a superfície de ataque;
– controle rigoroso de acessos, com definição clara de perfis, trilhas de auditoria e revisão periódica de privilégios.
As instituições passam também a ser obrigadas a manter registros detalhados das operações e dos acessos a ambientes críticos. Esses logs devem ser íntegros, rastreáveis e facilmente consultáveis, com mecanismos que impeçam alterações não autorizadas. O prazo mínimo de guarda é de cinco anos, período no qual esses dados poderão ser usados em auditorias internas, apurações de incidentes, disputas operacionais e ações de supervisão do próprio Banco Central.
A novidade que mais chama atenção é a formalização da obrigatoriedade dos testes de intrusão. Os pentests deverão ser conduzidos por empresas especializadas e com independência em relação às equipes internas de desenvolvimento e operação. O objetivo é simular ataques reais para identificar vulnerabilidades exploráveis antes que criminosos possam fazê-lo.
Os relatórios de pentest terão de ir além da lista de falhas técnicas. As normas exigem a apresentação de planos de ação concretos, com prazos e responsáveis definidos para a correção dos problemas encontrados. Esses documentos precisam estar organizados e disponíveis para consulta do Banco Central durante inspeções presenciais ou remotas, bem como para o acompanhamento de reincidências e do amadurecimento da postura de segurança da instituição ao longo do tempo.
Outra frente fortalecida é a gestão de terceiros. O conjunto regulatório deixa claro que o risco decorrente da terceirização de serviços de tecnologia – como armazenamento em nuvem, processamento de dados, provedores de APIs, plataformas de IA, call centers e outros – continua sendo responsabilidade da instituição financeira perante o regulador e os clientes. Em outras palavras, não basta terceirizar a infraestrutura: é obrigatório garantir que o fornecedor siga padrões de segurança equivalentes aos exigidos do próprio contratante.
Isso envolve a inclusão de cláusulas contratuais específicas de segurança cibernética, exigência de evidências de conformidade, auditorias periódicas e, em muitos casos, a realização de pentests que incluam o ambiente do fornecedor ou, ao menos, as interfaces críticas de integração. A gestão de riscos passa a ter um caráter mais abrangente, cobrindo toda a cadeia de tecnologia e não apenas os sistemas internos.
Um ponto sensível é que o Brasil ainda não conta com um marco robusto e específico de responsabilização por incidentes cibernéticos em infraestruturas críticas, como sistemas de pagamentos e compensação financeira. Ao elevar as exigências para o setor financeiro, o Banco Central sinaliza a necessidade de maturidade elevada, mesmo na ausência de uma lei ampla sobre o tema. Na prática, as instituições que descuidarem da segurança poderão enfrentar não apenas sanções administrativas, mas também impactos reputacionais graves e disputas judiciais com clientes, parceiros e investidores.
A integração de inteligência artificial aos processos de desenvolvimento e operação é outro aspecto que exige atenção redobrada. Ferramentas de IA podem acelerar a entrega de software, automatizar testes e apoiar a análise de incidentes, mas também podem introduzir riscos adicionais: geração de código vulnerável, dependência de modelos de terceiros sem transparência adequada, uso indevido de dados sensíveis em treinamentos e falhas de interpretação automatizada em cenários críticos. As novas regras pressionam as instituições a incorporar esses riscos à sua matriz de gestão, avaliando com rigor onde e como a IA será utilizada.
Para as empresas de tecnologia que fornecem soluções ao setor financeiro, o recado é direto: dificilmente será possível fechar contratos relevantes sem comprovar aderência às boas práticas de segurança. Pentests periódicos, certificações, políticas de proteção de dados, processos de resposta a incidentes e evidências de conformidade tendem a se tornar requisitos básicos em negociações comerciais. Do lado dos compradores, a orientação implícita é clara: sempre exigir testes de intrusão e avaliações de segurança antes de contratar ou integrar um software ao ambiente de produção.
Do ponto de vista estratégico, as novas resoluções estimulam a criação de uma cultura de segurança por design. Isso implica envolver as áreas de risco e segurança já nas fases iniciais de concepção de produtos, APIs, aplicativos e jornadas digitais, ao invés de tratar a proteção como um adereço adicionado às pressas na etapa final. Organizações que abraçarem essa visão tendem a reduzir custos com correções emergenciais, diminuir a probabilidade de incidentes graves e aumentar a confiança de clientes e reguladores.
Para se adequar até 2026, as instituições terão de revisar políticas, processos, contratos e arquiteturas tecnológicas. Muitas precisarão investir em capacitação de equipes, ampliar times de segurança, adotar plataformas de monitoramento em tempo real, implementar programas de bug bounty ou testes contínuos e atualizar metodologias de desenvolvimento seguro. Ignorar ou minimizar o impacto das novas exigências pode significar não apenas o risco de sanções, mas também a perda de competitividade em um mercado que valoriza, cada vez mais, a confiabilidade digital.
Em síntese, o Banco Central está transformando o pentest de boa prática recomendável em obrigação regulatória. Junto com isso, ele amplia o escopo da responsabilidade sobre fornecedores, fortalece a gestão de logs e reforça a necessidade de políticas de segurança que funcionem na prática. Em um cenário em que quase todas as interações financeiras passam por canais digitais, a mensagem é inequívoca: segurança cibernética não é mais um diferencial – é condição mínima para continuar operando no sistema financeiro brasileiro.