Novos padrões de cibersegurança e terceirização no sistema financeiro brasileiro
O Banco Central do Brasil (BCB) publicou em 18 de dezembro de 2025 a Resolução BCB nº 538, introduzindo um marco regulatório mais rigoroso em matéria de cibersegurança e na contratação de serviços de processamento e armazenamento de dados.
A norma representa uma mudança significativa na abordagem regulatória, avançando para um modelo com requisitos técnicos específicos, verificáveis e auditáveis, alinhados às melhores práticas internacionais.
A Resolução nº 538 introduz uma mudança relevante ao estabelecer critérios mínimos obrigatórios, reduzindo a interpretação subjetiva e elevando o nível de exigência regulatória. Essa abordagem facilita a supervisão pelo regulador e promove maior uniformidade nos padrões de segurança do sistema.
Um dos aspectos centrais da norma é a definição de um conjunto mínimo de 14 controles obrigatórios que devem ser integrados à política de cibersegurança das instituições financeiras.
Esses controles reforçam aspectos-chave como:
A exigência desses controles representa um avanço em direção a modelos mais estruturados, comparáveis a frameworks como NIST ou ISO 27001, embora com especificidade regulatória local.
A resolução introduz a obrigação de implementar mecanismos de rastreabilidade end-to-end em transações e operações.
Sob uma perspectiva técnica e operacional, isso implica:
Esse requisito não apenas fortalece a detecção de incidentes, como também melhora a capacidade de resposta.
No que diz respeito à contratação de serviços de processamento e armazenamento de dados —especialmente em ambientes de nuvem—, a resolução estabelece condições mais rigorosas para a gestão de terceiros.
Entre os aspectos mais relevantes destacam-se:
A necessidade de avaliações de risco prévias à contratação
A exigência de garantias contratuais em matéria de segurança e disponibilidade
A obrigação de manter visibilidade, controle e capacidade de supervisão sobre os serviços terceirizados
Essa abordagem responde ao peso crescente dos provedores tecnológicos na cadeia de valor do sistema financeiro.
A implementação da Resolução BCB nº 538 implica um impacto direto nos modelos operacionais e de governança das instituições financeiras, incluindo:
Para muitas organizações, especialmente aquelas com arquiteturas complexas ou altamente distribuídas, o principal desafio será operacionalizar os requisitos técnicos de forma consistente e escalável.
O caráter técnico e auditável da resolução evidencia que o cumprimento não pode mais ser abordado apenas sob uma perspectiva documental ou de governança, mas requer capacidades tecnológicas específicas.
Nesse contexto, soluções especializadas como as desenvolvidas pela BOTECH permitem às entidades:
Esse tipo de capacidade é fundamental para transformar o cumprimento regulatório em um processo operacional, automatizado e sustentável ao longo do tempo.
A resolução faz parte de uma estratégia mais ampla do Banco Central do Brasil voltada a fortalecer a resiliência operacional e a estabilidade do sistema financeiro.
O aumento da superfície de ataque, a digitalização acelerada e a dependência de terceiros tornam necessário um marco regulatório mais preciso e exigente. Nesse contexto, a Resolução nº 538 contribui para elevar o nível de preparação do setor frente a riscos cibernéticos e operacionais. Ao introduzir controles mínimos obrigatórios, reforçar a rastreabilidade e endurecer os requisitos sobre terceiros, o regulador estabelece um novo padrão para as instituições financeiras.
Nesse novo cenário, a combinação de governança, processos e tecnologia será determinante para alcançar um cumprimento efetivo e sustentável.