Com a edição da Resolução nº 538 de 2025, o Banco Central do Brasil promoveu um aprimoramento relevante na política de segurança cibernética das instituições autorizadas, fortalecendo o arcabouço regulatório do sistema financeiro. Em um ambiente impulsionado pelo Pix e pela digitalização em escala, a resiliência tecnológica deixou de ser atributo exclusivamente técnico e passou a integrar a lógica econômica da estabilidade institucional.

Inscreva-se gratuitamente na InfoMoney Premium, a newsletter que cabe no seu tempo e faz diferença no seu dia

A norma, aprovada em conjunto com o Conselho Monetário Nacional, consolida uma inflexão prudencial.

A Resolução 538 não é apenas uma atualização regulatória. É a formalização de que risco cibernético passou a ser risco de estabilidade financeira.

Continua depois da publicidade

De 2018 à prova recorrente

Desde 2018, com a promulgação da Lei Geral de Proteção de Dados, o Brasil iniciou uma jornada de responsabilização formal sobre dados pessoais. O foco inicial era estrutural: políticas, mapeamento, governança documental.

A Resolução 538 representa um estágio mais avançado dessa trajetória. Sai o modelo baseado na existência de políticas. Entra o modelo baseado em comprovação técnica recorrente.

Entre as mudanças destacadas pelo Banco Central estão a exigência de testes anuais de intrusão por profissionais independentes, com documentação e planos de ação mantidos por cinco anos, além do reforço de autenticação multifatorial na comunicação com a Rede do Sistema Financeiro Nacional.

Continua depois da publicidade

Não basta afirmar controle. É preciso demonstrar capacidade de resistência.

Infraestruturas críticas e responsabilidade ampliada

A norma reforça requisitos na comunicação eletrônica com a Rede do Sistema Financeiro Nacional, especialmente nos ambientes do Pix e do Sistema de Transferência de Reservas, exigindo autenticação multifatorial, isolamento lógico de ambientes e vedação de acesso de terceiros às chaves privadas.

Além disso, amplia o escopo dos controles para sistemas desenvolvidos ou adquiridos de terceiros. O risco torna-se estruturalmente interconectado.

Continua depois da publicidade

Movimentos semelhantes vêm sendo observados em outras jurisdições relevantes, onde reguladores passaram a exigir evidências técnicas periódicas de resiliência. O Brasil, ao consolidar essa agenda, aproxima-se de um padrão internacional de supervisão cibernética no setor financeiro.

O teste público da maturidade

Em fevereiro de 2026, a divulgação pública da exposição de chaves Pix de uma instituição financeira — registrada pela própria autarquia — evidenciou um novo padrão de transparência institucional.

Em sistemas altamente digitalizados, a forma como o incidente é comunicado tornou-se parte da própria arquitetura de estabilidade.

Continua depois da publicidade

A gestão do evento foi tão relevante quanto o evento.

A economia da resiliência digital

Essa evolução revela uma mudança estrutural: maturidade cibernética passou a integrar a percepção de robustez institucional.

O custo da inconformidade envolve múltiplas camadas — sanções administrativas, medidas prudenciais, volatilidade reputacional e aumento da percepção de risco. Mas o impacto mais profundo é invisível: erosão de confiança.

Continua depois da publicidade

No sistema financeiro digital, confiança não é um ativo intangível. É infraestrutura crítica.

À medida que o prazo de adequação até 1º de março de 2026 se aproxima, o mercado tende a observar quem internalizou o risco cibernético como variável estratégica e quem ainda o trata como obrigação operacional.

A diferença não estará apenas na tecnologia implementada, mas na capacidade de provar resiliência sob escrutínio.

A Resolução 538 consolida uma transição silenciosa, porém decisiva: a cibersegurança deixou de ser item de conformidade e passou a integrar a arquitetura de valor do sistema financeiro.

Instituições que compreendem essa dinâmica não apenas reduzem vulnerabilidades. Preservam legitimidade em um ambiente onde estabilidade e confiança se tornaram inseparáveis.

© InfoMoney