As Resoluções CMN 5.274 e BCB 538, publicadas em 18 de dezembro de 2025, atualizam um ponto sensível do setor financeiro.

As normas reforçam requisitos mínimos de segurança cibernética, ampliam o foco sobre ambientes críticos, como RSFN (Rede do Sistema Financeiro Nacional), Pix (sistema de pagamentos instantâneos) e STR (Sistema de Transferência de Reservas), e elevam a exigência por processos de prevenção, monitoramento, testes e resposta. A regulação reforça que a instituição precisa operar com controles verificáveis, rastreáveis e sustentáveis ao longo do tempo.

Com esse cenário, a dúvida prática aparece rápido dentro das áreas de TI e segurança. Afinal, o que muda, na operação diária, para instituições reguladas e para os seus parceiros tecnológicos?

Neste artigo, detalhamos os pontos centrais das resoluções, os impactos técnicos e o que tende a pesar em auditorias e supervisão. Confira!

O que são as Resoluções CMN 5.274 e BCB 538

As duas resoluções foram publicadas em 18 de dezembro de 2025 para atualizar as regras de segurança cibernética e de contratação de processamento, armazenamento de dados e computação em nuvem no sistema financeiro.

O objetivo é reduzir lacunas de interpretação e alinhar o padrão de controles entre diferentes perfis de participantes, com atenção maior aos elos críticos da infraestrutura.

A Resolução CMN 5.274 altera a Resolução CMN 4.893/2021 e alcança instituições autorizadas a funcionar pelo Banco Central. Já a Resolução BCB 538 altera a Resolução BCB 85/2021 e direciona exigências a instituições de pagamento e a outros participantes, como corretoras, distribuidoras e corretoras de câmbio.

Na prática, o texto é complementar, com foco comum em resiliência operacional e proteção de ambientes críticos.

Por que o Banco Central atualizou as regras agora

O risco cibernético ganhou escala e passou a atingir a continuidade de serviços que sustentam o Sistema Financeiro Nacional e o Sistema de Pagamentos Brasileiro.

O regulador também reforçou o olhar sobre a comunicação eletrônica de dados e sobre trilhas de evidência, principalmente em integrações que concentram liquidação e mensageria. Nesse ponto, RSFN, Pix e STR entram como referências de criticidade, por conectarem operações de alto volume e de alta dependência sistêmica.

Outro vetor é a supervisão. Controles genéricos são difíceis de validar, e controles pouco verificáveis viram discussão de interpretação.

A mudança busca empurrar o setor para práticas auditáveis, com registros e rotinas que facilitem a verificação, sem depender de narrativa. O efeito esperado é mais previsibilidade para o regulador e menos “zona cinzenta” para a instituição.

Quais são os principais pontos da CMN 5.274 e da BCB 538

O núcleo das normas é o reforço da política de segurança cibernética com exigências adicionais e mais detalhadas.O texto direciona a instituição para um conjunto mais amplo de controles, cobrindo gestão de certificados digitais, integração segura entre sistemas, inteligência cibernética, rastreabilidade de operações, controles de acesso, proteção de rede e aplicação regular de correções.

O alcance também se estende ao desenvolvimento e à adoção de novas tecnologias, com atenção a dependências e sistemas de terceiros.

O ponto mais sensível não é apenas “proteger”. O regulador passa a cobrar demonstração contínua de que a proteção existe, está atualizada e funciona sob pressão. Em termos operacionais, isso significa evidências, logs, relatórios, rastros de correção e governança que sobreviva a trocas de equipe e a mudanças de arquitetura.

Requisitos mínimos mais claros e verificáveis

Um dos movimentos centrais é reduzir a margem para leituras superficiais. Políticas amplas, com frases genéricas e pouca materialidade, tendem a perder espaço frente a práticas com evidência objetiva. A instituição passa a precisar de registros de execução, rastreabilidade de decisões e prova de que controles críticos foram aplicados e revisados.

A consequência aparece em auditorias. O auditor pede uma trilha: o que foi medido, quando foi medido, quem aprovou, qual foi o plano e qual foi a correção. Sem esse encadeamento, o risco vira recorrente e a área técnica entra em ciclo de retrabalho. O custo não é só de segurança, porque a indisponibilidade e a interrupção operacional pesam no negócio.

Aqui, um dado ajuda a dimensionar o problema. O IBM Cost of a Data Breach Report 2025 aponta custo médio global de US$4,44 milhões por violação de dados. O número representa uma queda em relação ao ano anterior, puxada pela identificação e contenção mais rápidas, impulsionadas pelo uso de IA e automação.

O próprio relatório destaca que a adoção acelerada de IA sem governança adequada tem ampliado riscos, o que reforça a necessidade de controles verificáveis e rastreáveis.

Maior rigor para Pix e STR

A regulação reforça o tratamento da comunicação eletrônica de dados em ambientes críticos. O recado é que integração e mensageria não são “meio”, e sim parte do controle. Em ecossistemas como Pix e Sistema de Transferência de Reservas (STR), o problema de credencial, o erro de configuração e o acesso indevido afetam a disponibilidade e a integridade com impacto imediato em operação e confiança.

O Banco Central também vem publicando dados que mostram a escala das operações que dependem dessas infraestruturas. O Pix, principal camada operacional do SPI, movimentou cerca de R$35 trilhões em 2025 e registrou aproximadamente 80 bilhões de transações no ano.

Em 2026, o ritmo segue elevado, com bilhões de operações mensais e volumes que ultrapassam R$2 trilhões por mês. Números desse porte deixam claro por que a exigência por isolamento, controle de credenciais e rastreabilidade subiu de nível.

Testes de intrusão anuais e documentação das correções

As resoluções passam a exigir testes de intrusão anuais, executados por profissionais independentes, com documentação de resultados e planos de ação. O material precisa ficar disponível para o Banco Central por cinco anos, o que muda a rotina de evidência.

O teste deixa de ser um evento e passa a integrar o ciclo formal de melhoria, com registro do que foi encontrado e do que foi corrigido.

Na prática, a equipe precisa tratar o resultado como backlog priorizado, com prazos, responsáveis e validação de correção. Um relatório sem trilha de tratamento tende a virar risco de governança. O controle real aparece quando a instituição demonstra a correção, repete a verificação e mantém histórico.

Mais atenção à nuvem, terceirização e serviços relevantes

A contratação de serviços de processamento, armazenamento e computação em nuvem segue no radar regulatório. O movimento é coerente com a dependência crescente de terceiros em operações críticas, incluindo conectividade, observabilidade, proteção e suporte.

A regulação também aproxima a comunicação eletrônica de dados do conceito de serviço relevante, o que eleva a necessidade de gestão de riscos e supervisão sobre fornecedores.

O impacto aparece na diligência técnica. Contrato, SLA e cláusula de auditoria ganham peso, mas não resolvem sozinhos. A instituição tende a precisar de mecanismos práticos para acompanhar a postura de segurança, gestão de mudanças e resposta a incidentes do parceiro com evidência e rotina.

Onde entra a RTM nesse cenário

A adequação regulatória costuma travar em dois pontos: visibilidade operacional e capacidade de evidência. O portfólio de segurança da RTM conversa com esses desafios quando combina monitoramento contínuo, registros e apoio especializado para operação 24×7, com foco no setor financeiro.

Um monitoramento em tempo real ajuda a consolidar eventos e a reduzir a dispersão de logs, o que facilita resposta e auditoria. A gestão de vulnerabilidades com rastreabilidade também suporta o ciclo exigido por testes e correções, com histórico e trilha organizada.

A proposta da Cloud Services da RTM entra como uma nuvem desenhada para necessidades do mercado financeiro. O valor prático aparece no suporte especializado, na governança alinhada ao ecossistema e na integração com conectividade e mensageria usadas por instituições reguladas. O objetivo é reduzir atrito operacional e aumentar a previsibilidade em controles e evidências.

Quais instituições são impactadas

As mudanças atingem instituições autorizadas a funcionar pelo Banco Central, dentro do escopo da CMN 5.274. No caso da BCB 538, o alcance se estende a instituições de pagamento, sociedades corretoras de títulos e valores mobiliários, sociedades distribuidoras de títulos e valores mobiliários e sociedades corretoras de câmbio.

O impacto não fica restrito a grandes bancos, porque a exigência recai sobre controles mínimos e sobre a capacidade de demonstrar aderência.

Para instituições menores, o desafio tende a ser de escala. A norma cobra evidência, rotina e testes, mesmo quando a equipe é enxuta. O caminho costuma passar por priorização de ativos críticos, segmentação, gestão de credenciais e consolidação de monitoramento.

O que muda na prática para as áreas de TI, segurança e compliance

A operação precisa traduzir a norma em rotinas claras. Um primeiro movimento é revisar a política de segurança cibernética e amarrar o texto a controles executáveis, com responsáveis e periodicidades. Em paralelo, a instituição costuma precisar reforçar a gestão de acessos e credenciais, mapear ativos críticos, melhorar segmentação e isolamento de ambientes e consolidar monitoramento de eventos.

Dessa forma, os programas formais passam a pesar mais. Testes anuais, varreduras, correções e revalidações entram como trilha obrigatória, com documentação e retenção. Para compliance, o ganho é previsibilidade de evidência; para TI e segurança, o custo é disciplina operacional e redução de improviso. Onde falta processo, entra retrabalho e risco de inconsistência.

O desafio não é só técnico, é de governança

A aderência depende de processos e de integração entre times. TI, segurança, risco, compliance e liderança precisam trabalhar com o mesmo inventário de ativos críticos e com o mesmo entendimento de criticidade.

Revisão periódica, aprovação, registro e retenção viram itens de rotina, não de projeto. Sem esse acoplamento, a instituição implementa controle, mas perde evidência no tempo.

A maturidade regulatória também aparece na gestão de mudanças. Uma alteração pequena em rede, identidade ou integração pode derrubar um controle que estava “ok” no papel. Governança ajuda quando transforma a mudança em fluxo rastreável, com validação e trilha. O resultado é menos surpresa em auditoria e menos interrupção em incidentes.

Equipes pequenas precisam ganhar escala com apoio especializado

Muitas áreas de Cloud e Segurança operam com equipe reduzida, pouco tempo e alta responsabilidade. Monitoramento contínuo, gestão de vulnerabilidades, SIEM e suporte especializado ajudam quando entregam repetibilidade e evidência. O ganho vem da padronização de alertas, da organização de trilhas e da capacidade de resposta sem depender de “heróis” internos.

O ponto prático é reduzir a dispersão. Quando cada ferramenta gera um relatório diferente, a evidência vira um mosaico difícil de explicar. Serviços gerenciados e operação 24×7 ajudam a manter consistência e a tratar eventos antes de virarem um incidente relevante.

Prazo de adequação e próximos passos

As instituições em funcionamento na data de entrada em vigor das resoluções tiveram até 1º de março de 2026 para promover as adaptações necessárias. O prazo, no entanto, não encerra o tema, porque segurança cibernética regulatória funciona como processo contínuo. Monitoramento, teste, correção e revisão entram como ciclo permanente, com retenção de evidências e governança de mudanças.

Depois do prazo, o que muda é a pressão por sustentação. O regulador tende a olhar consistência e capacidade de demonstrar rotina. Controles aplicados uma vez e esquecidos geram lacunas, principalmente em ambientes críticos e em cadeias com terceiros.

Checklist inicial para quem ainda precisa fortalecer a aderência

• Revisão da política de segurança, com controles práticos, responsáveis e periodicidades.
• Validação dos controles em RSFN, Pix e STR, com isolamento e trilhas de acesso.
• Atualização da gestão de credenciais e certificados, com inventário e expiração controlada.
• Estruturação dos testes de intrusão independentes, com plano de ação e revalidação.
• Organização de evidências, com retenção, versionamento e acesso rápido para auditoria.
• Revisão dos contratos de serviços relevantes, com governança de terceiros e supervisão.
• Mapeamento de parceiros críticos, com critérios de risco e rotina de acompanhamento.

Como a RTM pode apoiar a adequação regulatória em cibersegurança

A adequação regulatória melhora quando a instituição trabalha com um parceiro que entende o contexto do mercado financeiro. A RTM se posiciona com soluções de segurança e com infraestrutura voltada a instituições reguladas, conectando monitoramento, gestão de vulnerabilidades e suporte especializado. O foco operacional é dar visibilidade e evidência, com relatórios úteis para compliance e auditoria, e com resposta coordenada em janelas críticas.

Na prática, a combinação de um monitoramento em tempo real, suporte 24×7 e processos de rastreabilidade de vulnerabilidades ajuda a sustentar o ciclo exigido pelas resoluções. Em ambientes onde conectividade e mensageria precisam de previsibilidade, a infraestrutura orientada ao setor reduz atrito e facilita a padronização de controles.

No Cloud Services, a proposta é oferecer um desenho de nuvem alinhado ao ecossistema financeiro e às exigências de governança, com suporte especializado e integração.

Fale com um especialista da RTM para avaliar a maturidade cibernética da instituição e definir os próximos passos de aderência às Resoluções CMN 5.274 e BCB 538.

FAQ

As resoluções trazem mudanças técnicas e operacionais que geram dúvidas recorrentes nas áreas de TI, segurança e compliance. Reunimos respostas objetivas para os pontos mais comuns na adaptação às novas exigências.