Por Fabio Noronha
Durante muitos anos, a segurança cibernética no sistema financeiro foi tratada essencialmente como um requisito de conformidade. Algo necessário, regulado e auditado, mas ainda percebido como um tema técnico, concentrado nas áreas de tecnologia e risco operacional.
Essa lógica começa a mudar. Em dezembro de 2025, o Banco Central e o Conselho Monetário Nacional atualizaram as regras de segurança cibernética aplicáveis às instituições financeiras. Segundo o próprio regulador, o objetivo é “fortalecer a segurança das infraestruturas de comunicação de dados e dos sistemas de pagamentos”, em resposta à crescente digitalização do setor e ao aumento do tráfego e da criticidade de sistemas como o Pix.
Mais do que um ajuste técnico, o movimento revela uma mudança de abordagem: o risco cibernético passa a ser tratado como risco estrutural do sistema financeiro.
Hiperconectividade e compliance
A digitalização acelerada do setor financeiro, impulsionada por pagamentos instantâneos, open finance e integrações via APIs, aumentou exponencialmente a interdependência entre instituições. Na prática, isso significa que o risco deixou de ser isolado.
Esse movimento ocorre em paralelo à escalada de fraudes no país. Em 2024, as perdas com golpes no sistema financeiro brasileiro somaram R$ 10,1 bilhões, segundo a Federação Brasileira de Bancos, um crescimento de 17% em relação ao ano anterior. No Pix, esse avanço é ainda mais visível: as fraudes cresceram 43% em dois anos. Em escala populacional, cerca de 24 milhões de brasileiros foram vítimas de golpes financeiros em 2024, com prejuízos próximos de R$ 29 bilhões, segundo o Fórum Brasileiro de Segurança Pública.
Esse cenário evidencia que os ataques passaram a ocorrer em múltiplas frentes, sem distinção clara entre canal, produto ou ponto de entrada, explorando justamente a hiperconectividade que sustenta o sistema.
As novas regras deixam claro que o regulador enxerga vulnerabilidades não apenas dentro das instituições, mas principalmente nas conexões entre elas credenciais, APIs, integrações com a Rede do Sistema Financeiro Nacional e dependência de infraestrutura compartilhada. Esse é um ponto crítico: o maior risco hoje não está no core bancário, mas nas bordas do ecossistema.
Outro sinal relevante das novas normas é a mudança de lógica regulatória. O Banco Central deixa de priorizar apenas a existência de políticas e passa a exigir evidências concretas de segurança. Isso inclui, por exemplo, testes periódicos de intrusão conduzidos por terceiros independentes, rastreabilidade de acessos e monitoramento contínuo de vulnerabilidades.
Na prática, isso encerra um modelo ainda comum no mercado: o da segurança baseada em documentação. O que passa a importar é a capacidade real de resistir a ataques.
Essa mudança aproxima o Brasil de uma agenda global de resiliência operacional, em que segurança deixa de ser auditoria e passa a ser teste contínuo.
Leia mais: Computação quântica: Q-Day pode levar uma década, mas risco de não se preparar é real
O impacto invisível
O efeito mais profundo das novas regras não está nos controles em si, mas nas decisões de arquitetura que elas passam a exigir.
Ambientes altamente integrados, baseados em cloud e APIs, exigem modelos mais robustos de gestão de identidade, proteção de credenciais e monitoramento de acessos. Ao mesmo tempo, ampliam a dependência de terceiros — provedores de nuvem, plataformas e integradores.
As novas normas deixam claro que esse ecossistema também está sob escrutínio regulatório. Isso muda a lógica de gestão de risco: segurança deixa de ser um problema interno e passa a ser um problema de cadeia.
Há também um efeito estrutural relevante. Ao exigir testes independentes, monitoramento contínuo e controles mais rigorosos, o Banco Central eleva o custo de operar no sistema financeiro. Esse movimento tende a impactar principalmente fintechs e instituições menores, que passam a enfrentar uma barreira tecnológica mais alta.
Por outro lado, acelera a valorização de plataformas capazes de operar dentro dos padrões regulatórios desde a origem. Segurança, nesse contexto, deixa de ser apenas proteção e passa a funcionar como fator de seleção e maturidade do mercado.
Segurança como infraestrutura
O que está em jogo vai além da cibersegurança. As novas regras sinalizam que, em um sistema financeiro baseado em plataformas digitais, APIs e pagamentos instantâneos, a estabilidade do setor depende diretamente da resiliência da infraestrutura tecnológica que o sustenta.
O Banco Central não está apenas endurecendo regras. Está redefinindo o papel da tecnologia no sistema financeiro. E deixando claro que, daqui para frente, segurança não será apenas uma função de tecnologia; será parte da própria infraestrutura de confiança do mercado.
Siga oIT Forum no LinkedIn e fique por dentro de todas as notícias!
