As alterações promovidas em 2025 na Resolução CMN nº 4.893 (pela Resolução CMN nº 5.274/25) e na Resolução BCB nº 85 (pela Resolução BCB nº 538/25) consolidaram uma mudança nas regras de segurança cibernética e na contratação de serviços de processamento, armazenamento de dados e computação em nuvem no setor regulado.
As regras de conformidade passaram a ser menos declaratórias e mais demonstráveis: além de políticas e diretrizes, espera-se a implementação de controles mínimos, a manutenção de evidências verificáveis e uma rotina periódica de testes e reporte.
Motivações das alterações
A digitalização acelerada dos serviços financeiros e de pagamento ampliou a exposição a incidentes cibernéticos e intensificou a dependência de ambientes terceirizados e de nuvem. Nesse contexto, eventos cibernéticos deixaram de ser uma externalidade tecnológica e passaram a se enquadrar, de forma direta, como risco operacional relevante, com potencial de afetar a continuidade de serviços críticos e, em situações extremas, a confiança no Sistema Financeiro Nacional e no Sistema de Pagamentos Brasileiro.
As alterações de 2025 respondem a três objetivos regulatórios principais.
Regime aplicável
O tema é disciplinado por dois conjuntos normativos com conteúdo harmonizado, mas com escopos distintos.
A Resolução CMN nº 4.893, alterada pela Resolução CMN nº 5.274, se aplica para instituições financeiras. Ela estabelece a política de segurança cibernética e as regras para contratação de serviços de processamento, armazenamento e computação em nuvem no universo regulado.
A Resolução BCB nº 85, alterada pela Resolução BCB nº 538, trata de forma equivalente do mesmo objeto, com incidência sobre instituições de pagamento, corretoras e distribuidoras de valores mobiliários e corretoras de câmbio.
Em termos de estratégia de conformidade, o ponto de partida é o enquadramento regulatório: identificar a natureza da entidade e o regime normativo aplicável, pois isso direciona o desenho do programa de conformidade, o conjunto de evidências esperado e o modo de interlocução e supervisão.
Ainda que existam requisitos mínimos comuns, a implementação deve observar proporcionalidade e abordagem baseada em risco: porte, complexidade operacional e criticidade de serviços influenciam a profundidade de controles, o rigor do monitoramento e a priorização do plano de adequação.
O que passou a ser obrigatório
As alterações indicam que a conformidade deixa de se sustentar apenas em políticas e diretrizes e passa a exigir a implementação de controles mínimos, acompanhada da produção e organização de evidências verificáveis.
a) Conformidade baseada em evidência. No plano regulatório e de compliance, quatro pontos merecem destaque.
Primeiro, requisitos mínimos expressos reduzem margem interpretativa e elevam o risco de inconformidade por lacunas específicas. Segundo, a evidência se torna elemento estruturante da supervisão: registros, trilhas de auditoria, relatórios periódicos e resultados de testes passam a ser fundamentais. Terceiro, a segurança cibernética é integrada a rotinas formais de governança e gestão de riscos, com responsabilidades, reporte e acompanhamento. Quarto, terceirização e nuvem deixam de ser mera decisão operacional e passam a demandar diligência reforçada e governança contratual, com previsões de auditabilidade, responsabilidades e gestão de incidentes.
Em auditoria ou supervisão, o regulador tende a verificar quais controles foram efetivamente implementados, com que frequência são revisados, quais evidências demonstram sua execução, e qual o plano de ação para correções identificadas.
b) Mudança técnica. Controles mínimos frequentemente exigem capacidade institucional que demanda rotinas e, muitas vezes, serviços especializados para implementação, monitoramento, testes e validação.
A norma prescreve resultados e evidências. Em instituições já autorizadas, a adequação costuma se traduzir em programas estruturados de gestão de acessos, rastreabilidade, gestão de vulnerabilidades, proteção de ambientes e continuidade.
Camada adicional para ambientes críticos: RSFN, Pix e STR
Há exigências reforçadas para ambientes considerados críticos, relacionados a infraestruturas como RSFN, Pix e STR. A lógica regulatória é a proteção do núcleo operacional do sistema, exigindo maior rigor em segregação de ambientes e controles de acesso, e impondo restrições adicionais quanto à atuação de terceiros em elementos sensíveis.
Na prática, isso significa que instituições conectadas a essas infraestruturas devem garantir separação mais rígida do ambiente crítico em relação ao restante da infraestrutura, limitar acessos administrativos e reforçar o controle de credenciais, certificados e mecanismos de assinatura, assegurando que os modelos de terceirização e governança de prestadores sejam compatíveis com a criticidade e com as restrições regulatórias aplicáveis.
Isso tem impacto relevante em contratos: obrigações de auditoria, cooperação, transparência e limitação de acesso precisam refletir o nível de risco e o nível de exigência regulatória do ambiente crítico.
Relatórios e testes como estrutura de conformidade
As alterações reforçam que conformidade exige rotina. O regulador demanda mecanismos recorrentes de validação e prestação de contas.
Nesse contexto, deve-se observar três elementos.
1 - O relatório anual consolida incidentes relevantes, ações de continuidade, vulnerabilidades identificadas e planos de correção. Os testes de continuidade demonstram capacidade real de manter ou recuperar serviços críticos após indisponibilidades ou incidentes. O teste de intrusão anual independente produz validação recorrente, documentada e imparcial, com plano de ação e acompanhamento de correções.
2 - A qualificação de certos serviços como relevantes para fins de contratação de processamento, armazenamento e nuvem intensifica a diligência sobre fornecedores. Em termos regulatórios, isso se traduz em exigência de governança de terceiros que seja capaz de produzir evidências e suportar auditoria, além de manter monitoramento contínuo.
3 - O prazo de adequação até 1º de março de 2026 deve ser encarado como prazo de operacionalização do programa. Um programa adequado pressupõe calendário anual de testes e reporte, repositório organizado de evidências e contratos ajustados.
Mapeamento prático
A implementação eficiente passa por uma matriz simples e auditável: obrigação regulatória, controle adotado e evidência correspondente.
Exemplos típicos incluem: gestão de vulnerabilidades com relatórios periódicos, priorização e validação de correções; rastreabilidade com política de logs e retenção e trilhas de auditoria; continuidade com testes de recuperação e evidências de resultados; testes de intrusão com relatório independente, plano de ação e retestes; e gestão de terceiros com diligência, cláusulas contratuais específicas e monitoramento contínuo.
Como instrumento jurídico, os contratos com fornecedores críticos tornam-se parte do programa de conformidade. Cláusulas de auditoria, níveis de serviço, obrigações de segurança, notificação e resposta a incidentes, acesso a evidências e responsabilidades devem estar estruturadas de modo a permitir que a instituição cumpra e demonstre seus deveres perante o regulador.
Próximos passos para instituições já autorizadas
A adequação regulatória pode ser organizada em quatro movimentos.
