Banco Central quer tirar a cibersegurança da TI e transformar o tema em prioridade de toda a instituição financeira
A proteção digital no sistema financeiro brasileiro deixou definitivamente de ser um assunto restrito às equipes técnicas. O Banco Central (BC) vem deixando claro que cibersegurança precisa ser tratada como tema estratégico de negócio, diretamente ligado à continuidade das operações, à confiança dos clientes e à própria estabilidade do sistema financeiro nacional.
No Febraban Sec 2026, Antonio Marcos Guimarães, chefe-adjunto do Departamento de Regulação do Sistema Financeiro do BC, reforçou que já não faz sentido enxergar segurança apenas como responsabilidade da área de Tecnologia da Informação. Na visão do regulador, o debate precisa subir de patamar e ser incorporado à governança corporativa, à gestão de riscos e às decisões da alta administração.
Em outras palavras, a cibersegurança sai do “porão” da TI e passa a ser pauta permanente do conselho, da diretoria e das áreas de negócio. Segurança, agora, é vista como um componente essencial da estratégia, e não como um custo ou um obstáculo à inovação. O foco se desloca de “apagar incêndios” tecnológicos para construir resiliência digital em toda a instituição.
Essa mudança de mentalidade foi traduzida em normas mais rígidas e detalhadas. O Banco Central atualizou o marco regulatório com a publicação de regras como a Resolução CMN 5.274 e a Resolução BCB 538, que substituem dispositivos anteriores e estabelecem uma abordagem mais prescritiva. Essas normas reforçam que não basta ter boas intenções: é preciso comprovar controles, processos e estruturas adequadas.
Entre as exigências, destacam-se:
– uso de autenticação multifator em acessos críticos;
– aplicação consistente de criptografia para proteção de dados em trânsito e em repouso;
– realização periódica de testes de invasão (pentests) e exercícios de simulação de ataques;
– segmentação de redes, evitando que uma brecha em um ponto comprometa todo o ambiente;
– gestão adequada de certificados digitais e chaves criptográficas.
As instituições financeiras tiveram até março de 2026 para se adaptar integralmente a essas novas regras, o que exigiu investimentos, revisão de processos e, principalmente, reorganização da governança de segurança. Mais do que comprar ferramentas, muitas organizações precisaram redesenhar papéis, responsabilidades e fluxos de decisão.
Um aspecto central dessa reestruturação é a posição do gestor de segurança da informação. A Instrução Normativa nº 9 do GSI determina que esse profissional deve ocupar um cargo estratégico e, sobretudo, independente da área de TI. Ou seja, não pode acumular funções técnicas operacionais com a responsabilidade de supervisionar os riscos cibernéticos da instituição.
Essa separação não é mero detalhe burocrático: ela busca reduzir conflitos de interesse e garantir que as decisões de segurança não sejam subordinadas apenas a critérios de custo ou conveniência tecnológica. O gestor de segurança passa a ter uma visão transversal, dialogando com compliance, jurídico, risco operacional, auditoria interna e com a alta liderança.
Outro ponto de alerta levantado pelo Banco Central é o avanço dos riscos associados ao uso de inteligência artificial (IA). Um dos vetores que mais preocupam o regulador é o chamado data poisoning – técnica em que dados de treinamento ou de operação dos modelos são manipulados para distorcer resultados, enviesar decisões ou abrir brechas para fraudes.
Muitas instituições já utilizam IA para análise de crédito, detecção de fraudes, atendimento automatizado e modelagem de risco. Porém, segundo o BC, ainda há uma carência significativa de mecanismos robustos para validar a qualidade dos dados de entrada, monitorar o comportamento dos modelos ao longo do tempo e interpretar seus resultados com o grau de criticidade necessário. Em ambiente financeiro, um modelo corrompido pode resultar em prejuízos milionários, violações regulatórias e danos severos à reputação.
Para enfrentar esse cenário cada vez mais complexo, o Banco Central desenvolve um projeto corporativo que reúne 16 iniciativas regulatórias integradas, com foco em três eixos: cibersegurança, prevenção a fraudes e governança de IA. A mensagem é que esses temas não podem mais ser tratados em silos: formam, juntos, um ecossistema de resiliência digital, no qual vulnerabilidades em um dos pontos tendem a afetar os demais.
Esse movimento acontece em um contexto desafiador. Nos últimos anos, o volume e a sofisticação dos incidentes cibernéticos no sistema financeiro cresceram de forma expressiva. Golpes envolvendo engenharia social, sequestro de dados (ransomware), comprometimento de contas e ataques a APIs de integração se tornaram mais frequentes. Ao mesmo tempo, estudos e avaliações de mercado indicam que a maturidade média de segurança das organizações brasileiras ainda é baixa.
Apesar de o país aparecer em posições de destaque em rankings internacionais de regulação e capacidade de resposta, apenas uma parcela reduzida das empresas alcançou um nível efetivamente maduro de proteção. Há um descompasso entre a robustez das normas e a capacidade real das instituições de implementá-las com profundidade, consistência e continuidade.
Na prática, o Banco Central tenta justamente reduzir essa distância entre regulação e execução. Mais do que publicar documentos, o objetivo é induzir uma mudança cultural interna. A orientação é clara: cibersegurança deve fazer parte do planejamento estratégico, dos indicadores de desempenho, da remuneração variável da liderança e do processo de tomada de decisão em novos produtos, canais e parcerias.
Para as instituições financeiras, isso significa adotar uma abordagem de segurança “by design” e “by default”. Projetos de inovação – como abertura de APIs, integração com fintechs, uso de nuvem e expansão de canais digitais – precisam nascer já com requisitos de segurança incorporados desde o desenho inicial. Não se trata de “colocar um antivírus no final”, mas de avaliar riscos, definir controles e pensar em continuidade de negócio desde o primeiro rascunho.
Outro ponto crucial é o engajamento das pessoas. Por mais avançada que seja a tecnologia, a maioria dos incidentes continua envolvendo falhas humanas: cliques em links maliciosos, compartilhamento indevido de credenciais, uso de senhas fracas, negligência em procedimentos. Ao tirar a cibersegurança da “caixinha” da TI, o Banco Central sinaliza que todos os colaboradores – do caixa ao diretor-presidente – são parte do sistema de defesa.
Programas contínuos de treinamento, simulações de phishing, campanhas internas de conscientização e políticas claras de uso de dispositivos e informações deixam de ser “boas práticas opcionais” e passam a ser fatores críticos de conformidade. A cultura organizacional precisa valorizar comportamentos seguros, sem punir indevidamente quem relata incidentes ou dúvidas.
A relação com terceiros também entra no radar regulatório. Em um ambiente financeiro cada vez mais aberto e interconectado, provedores de tecnologia, parceiros de negócio, fintechs, bureaus de crédito e empresas de atendimento se tornam extensões do perímetro de segurança da instituição. O BC reforça que não basta exigir cláusulas contratuais: é fundamental avaliar, monitorar e auditar a postura de segurança de toda a cadeia.
No campo da governança de IA, o desafio é equilibrar inovação com responsabilidade. Instituições que adotam modelos automatizados para decisões sensíveis precisam documentar critérios, reduzir vieses, garantir rastreabilidade das decisões e estabelecer mecanismos de revisão humana em situações de maior impacto. O risco não é apenas técnico: decisões opacas ou discriminatórias podem gerar processos judiciais, multas e danos irreparáveis à marca.
Diante desse cenário, a tendência é que cibersegurança, prevenção a fraudes e governança de IA passem a ser temas recorrentes em reuniões de conselho, comitês de risco e auditoria. Conselheiros e executivos terão de desenvolver, ao menos, uma base conceitual sólida sobre ameaças digitais, indicadores de segurança, apetite de risco e impactos regulatórios, para que possam questionar, aprovar ou vetar iniciativas com conhecimento de causa.
O recado do Banco Central é inequívoco: segurança não é mais um problema técnico isolado a ser resolvido por “especialistas de TI” em segundo plano. É uma prioridade estratégica, transversal, que impacta diretamente a confiança no sistema financeiro, a proteção do consumidor e a estabilidade econômica. Quem não internalizar essa visão corre o risco de ficar para trás – não apenas em compliance, mas em competitividade e credibilidade no mercado.