Publicada em 18 de dezembro de 2025, a  Resolução BCB Nº 538 representa um marco na evolução da regulamentação de segurança cibernética no Brasil. Esta norma altera a Resolução BCB Nº 85 de 2021, sinalizando um esforço estratégico do Banco Central do Brasil para elevar significativamente os padrões de segurança e resiliência cibernética aplicáveis a determinadas instituições financeiras.

O propósito fundamental da resolução é aprimorar a política de segurança e os requisitos para a contratação de serviços de processamento de dados e computação em nuvem. A regulamentação mira diretamente as instituições de pagamento, as sociedades corretoras de títulos e valores mobiliários, as sociedades distribuidoras de títulos e valores mobiliários e as sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central.

O objetivo é fortalecer as defesas do sistema financeiro contra ameaças digitais cada vez mais sofisticadas, garantindo a integridade e a estabilidade das operações.

Cenário atual da segurança cibernética em instituições bancárias

Essa medida vem ao encontro do aumento expressivo de ataques hackers a bancos e outras instituições do sistema financeiro. Para se ter uma ideia, de acordo com números do Banco Central, os crimes cibernéticos mais que dobraram em um ano.

Em 2023, foram 24 grandes ocorrências de invasão ao sistema de instituições. Já, em 2024, esse número pulou para 59.

Apesar desse elevado índice de casos, vale destacar que os bancos investem cerca de R$ 5 bilhões por ano em sistemas de cibersegurança, segundo a pesquisa Febraban de Tecnologia Bancária.

Detalhamento da nova regulamentação de segurança cibernética

As alterações introduzidas pela Resolução BCB Nº 538/2025 representam uma expansão significativa das responsabilidades das instituições reguladas, transformando o paradigma de diretrizes gerais para requisitos técnicos detalhados e prescritivos.

Essa mudança exige uma revisão aprofundada das políticas, controles e procedimentos internos de segurança. Veja as principais alterações:

 Leia também: Roubo de informações: por que dados são o ativo mais visado? 

1. Expansão e detalhamento dos controles de segurança

O Art. 3º da resolução foi substancialmente expandido, estabelecendo uma base mínima de 14 procedimentos e controles obrigatórios. Essa lista detalha as expectativas do órgão regulador, criando um roteiro claro para a implementação de uma política de segurança robusta e o cumprimento da regulamentação de segurança cibernética.

Controles obrigatórios

Os controles mínimos obrigatórios agora incluem:

1. Autenticação: verificação da identidade de usuários e sistemas.
2. Mecanismos de criptografia: proteção da confidencialidade e integridade dos dados.
3. Mecanismos de prevenção e detecção de intrusão: ferramentas para identificar e bloquear acessos não autorizados.
4. Mecanismos de prevenção de vazamentos de informações: controles para evitar a exfiltração de dados sensíveis.
5. Mecanismos de proteção contra softwares maliciosos: defesas contra vírus, ransomware e outras ameaças.
6. Mecanismos de rastreabilidade: capacidade de monitorar e registrar eventos e transações.
7. Gestão de cópias de segurança dos dados e das informações: procedimentos de backup e recuperação.
8. Avaliação e a correção de vulnerabilidades: identificação e remediação de falhas de segurança.
9. Controles de acesso: gestão de permissões de usuários e sistemas.
10. Definição e implementação de perfis de configuração segura: padronização de configurações seguras para ativos de tecnologia.
11. Mecanismos de proteção da rede: medidas para proteger a infraestrutura de rede.
12. Gestão de certificados digitais: controle do ciclo de vida dos certificados.
13. Requisitos de segurança para a integração de sistemas: diretrizes para integrações via interfaces eletrônicas.
14. Ações de inteligência no ambiente cibernético: monitoramento de ameaças na internet, Deep Web e Dark Web, além de grupos privados de comunicação.

Veja também: Análise forense digital: 9 razões para sua empresa contratar 

Controles específicos

Adicionalmente, a regulamentação de segurança cibernética detalha as expectativas para controles específicos:

Rastreabilidade (§ 7º): exige a implementação de trilhas de auditoria fim a fim, capazes de subsidiar análises e identificar falhas. A norma também estabelece a necessidade de definir um tempo de retenção para essas informações e garantir sua guarda segura.

Avaliação de Vulnerabilidades (§ 8º): torna mandatórias ações como testes periódicos, varreduras de rede, análises de recursos e testes de intrusão. Crucialmente, a norma adiciona a obrigação de correção tempestiva das vulnerabilidades identificadas, fechando o ciclo de gestão de risco e transformando a descoberta em ação corretiva obrigatória.

Controles de Acesso (§ 9º): determina a implementação de mecanismos para limitar o acesso à rede de usuários e dispositivos autorizados, a revisão periódica das permissões (especialmente de terceiros) e a obrigatoriedade de múltiplos fatores de autenticação para acessos externos.

Proteção de Rede (§ 11º): requer a adoção de medidas específicas, como a segmentação da rede para proteger o ambiente de produção e os recursos que suportam processos críticos. Além disso, exige o estabelecimento de regras de firewall e o monitoramento rigoroso de conexões com ambientes externos, com ênfase explícita em horário noturno e dias não úteis, e a utilização de ferramentas como VPNs para análise de eventos atípicos.

2. Requisitos de Segurança Adicionais para a RSFN

A resolução introduz o Art. 3º-A, dedicando uma seção inteiramente à proteção da comunicação de dados na Rede do Sistema Financeiro Nacional (RSFN). Essa medida reflete a importância estratégica dessa infraestrutura para a estabilidade do sistema financeiro e impõe controles rigorosos para os participantes.

Os principais requisitos para a RSFN e outros sistemas são:

• Ambientes PIX e STR: exigência de uso de múltiplos fatores de autenticação para acesso administrativo e o isolamento físico e lógico desses ambientes dos demais sistemas da instituição, incluindo instâncias dedicadas em serviços de nuvem.
• Sistema de Pagamentos Instantâneos (SPI): obrigatoriedade de monitoramento contínuo do uso de credenciais e certificados digitais, além de controles para a guarda segura dessas informações.
• Integridade das Transações: implementação de mecanismos para validar a integridade fim a fim das transações antes da assinatura digital das mensagens, garantindo que os dados não foram corrompidos ou manipulados.
• Acesso de Terceiros: vedação explícita do acesso de prestadores de serviços às chaves privadas dos certificados digitais utilizados pela instituição para assinar mensagens na rede. Esta medida mitiga diretamente riscos de cadeia de suprimentos (supply chain), assegurando que a identidade criptográfica da instituição permaneça não repudiável e sob seu controle exclusivo.
• Participantes de SMF: pra instituições conectadas como participantes de Sistemas do Mercado Financeiro (SMF) autorizados, a norma exige a implementação de controles específicos para a prevenção, detecção e resposta a fraudes.

3. Institucionalização dos Testes de Intrusão (Art. 22-A)

O novo Art. 22-A institucionaliza os testes de intrusão (pentests) como um pilar de validação da segurança cibernética. Antes considerados uma boa prática, agora são um componente crítico e auditável da política de segurança.

Os requisitos fundamentais para os testes de intrusão são:

• Periodicidade: devem ser realizados com uma frequência mínima anual.
• Execução: deve acontecer com independência e imparcialidade, podendo ser realizada por uma empresa especializada contratada para essa finalidade.
• Documentação: os resultados, as vulnerabilidades identificadas e os planos de ação para correção devem ser formalmente documentados.

Esses novos requisitos técnicos elevam o patamar de exigência e demandam ações concretas e imediatas por parte das instituições para garantir a conformidade.

Saiba mais: Pentest: como evoluir sua proteção cibernética 

4. Relevância dos prestadores de serviço

O novo Art. 22-B classifica o serviço de comunicação eletrônica de dados na RSFN como “relevante”. Na prática, isso significa que os fornecedores desses serviços passam a estar sujeitos às mesmas regras rigorosas de contratação aplicáveis a serviços de processamento de dados e computação em nuvem.

Essa mudança aumenta a responsabilidade das instituições na gestão de seus fornecedores, exigindo uma diligência ainda maior na seleção e no monitoramento de parceiros que operam em infraestruturas críticas.

Implicações estratégicas e prazos de adequação

Com esta regulamentação de segurança cibernética, o Banco Central impõe uma transição de um modelo de conformidade reativa para uma governança de risco cibernético proativa e integrada à estratégia de negócios.

A segurança deixa de ser um silo técnico para se tornar uma responsabilidade central da governança corporativa, exigindo investimentos e atenção contínua da alta administração.

Vigência e prazo de adaptação

Os prazos estabelecidos pela resolução são claros e demandam planejamento imediato por parte das instituições.

Ou seja, as instituições já em funcionamento na data da publicação têm até 1º de março de 2026 para promover todas as adaptações necessárias.

O novo paradigma de segurança cibernética

A Resolução BCB Nº 538/2025 consolida a visão do Banco Central de que a segurança cibernética é um pilar indispensável para a solidez e eficiência do sistema financeiro nacional. A norma não apenas atualiza, mas redefine as expectativas, estabelecendo um novo paradigma de governança e controle.

Em síntese, a resolução impõe três diretrizes centrais:

1. Aprofundamento técnico e especificidade dos controles, substituindo diretrizes gerais por requisitos claros, detalhados e auditáveis.
2. Foco intensificado na proteção de infraestruturas críticas, como a RSFN, o PIX e o STR, com a imposição de salvaguardas adicionais.
3. A formalização de práticas de validação contínua, como a exigência de testes de intrusão anuais e independentes, reforçando a necessidade de uma postura de segurança proativa.

Esta resolução sinaliza, portanto, uma nova era de responsabilidade e rigor na governança de segurança cibernética, exigindo das instituições financeiras supervisionadas um compromisso renovado com a proteção de seus ativos, dados e operações.

Como a GIF International apoia com a regulamentação de segurança cibernética

A Resolução BCB Nº 538/2025 deixa claro, que a partir de agora, as instituições precisam adotar uma postura proativa e baseada em inteligência para proteger infraestruturas críticas, mitigar riscos e responder rapidamente a incidentes.

É exatamente nesse ponto que a GIF International se torna uma parceira essencial.

Com um ecossistema robusto de soluções integradas para o segmento financeiro, a GIF International apoia bancos, fintechs e instituições de pagamento a elevarem seus níveis de cibersegurança e acelerarem a conformidade regulatória. Conte com:

• Pentest avançado e de alta profundidade: nossa abordagem combina black box, grey box e white box, simulando atacantes reais e entregando um diagnóstico completo sobre vulnerabilidades, impacto e caminhos de mitigação.
• Threat Intelligence orientado a risco: realizamos o monitoramento ativo de ameaças na superfície, Deep Web e Dark Web, a fim de identificar vazamentos de credenciais, movimentações de grupos criminosos, vendas de kits de fraudes direcionados ao setor financeiro, campanhas para orquestrar ataques, entre outros esquemas de fraudes.
• Análise Forense Digital: conduzimos investigações completas para identificar a origem do ataque, rastrear comprometimentos, reconstruir a trilha de eventos e fornecer evidências.

A GIF International está preparada para ser seu parceiro estratégico nessa nova era de regulamentação de segurança cibernética. Quer elevar seu nível de segurança e garantir conformidade com as novas diretrizes? Fale com nossos especialistas.