Banco Central exige Pentest para o setor financeiro: novas regras endurecem a cibersegurança no SFN
O Banco Central do Brasil (BCB), em conjunto com o Conselho Monetário Nacional (CMN), aprovou um novo pacote regulatório que eleva de forma significativa a barra da cibersegurança para todo o Sistema Financeiro Nacional. As regras passam a valer em 1º de março de 2026 e atingem bancos tradicionais, fintechs, cooperativas de crédito, instituições de pagamento e demais empresas autorizadas a atuar no ecossistema financeiro brasileiro.
As exigências estão consolidadas nas Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, que revogam e substituem normas anteriores, ao mesmo tempo em que ampliam obrigações relacionadas à governança de tecnologia, à proteção de dados e à gestão de riscos cibernéticos. O foco é claro: adaptar o setor financeiro à realidade de um ambiente cada vez mais digital, com ataques mais frequentes, complexos e com grande potencial de impacto sistêmico.
Um dos pilares das novas regras é a implementação de políticas de segurança cibernética que não sejam apenas documentos formais, mas práticas efetivamente aplicadas e monitoradas no ambiente tecnológico da instituição. O Banco Central deixa explícito que a segurança não pode ser algo meramente “de papel”: controles, processos e tecnologias devem funcionar no dia a dia, com evidências, métricas e revisões periódicas.
Essas políticas precisam contemplar, entre outros pontos, mecanismos de autenticação forte (como múltiplos fatores), processos estruturados de gestão de vulnerabilidades, uso adequado de criptografia para dados em repouso e em trânsito, proteção de redes internas e externas, além de controles rigorosos de acesso, com base em privilégios mínimos e segregação de funções. O objetivo é reduzir ao máximo a superfície de ataque e dificultar movimentações laterais de invasores dentro da infraestrutura tecnológica.
Outra obrigação central é a manutenção de registros detalhados das atividades mais sensíveis. As instituições deverão coletar, armazenar e preservar logs de acessos e de operações críticas, garantindo tanto a integridade quanto a disponibilidade dessas informações. Esses registros terão papel fundamental em auditorias internas, na análise de incidentes de segurança e na fiscalização exercida pelo regulador, com tempo mínimo de retenção de cinco anos. Isso aumenta a rastreabilidade e facilita a identificação de falhas, comportamentos anômalos e responsabilidades.
Entre as mudanças mais relevantes está a exigência formal de realização periódica de testes de intrusão, os chamados pentests, conduzidos por empresas ou equipes especializadas. Esses testes simulam ataques reais contra sistemas, aplicativos e infraestruturas, com o objetivo de encontrar vulnerabilidades antes que cibercriminosos as explorem. Deixam de ser uma prática opcional ou “boa recomendação” e passam a ser um requisito regulatório.
Os relatórios de pentest precisarão trazer não apenas a lista de falhas identificadas, mas também um plano de ação detalhado com prazos, responsáveis e prioridades para correção. As instituições deverão manter esses documentos disponíveis para apresentação ao Banco Central em processos de supervisão, o que aumenta o nível de transparência e de responsabilização das áreas de tecnologia e de negócios.
O pacote de regras também endurece o tratamento dado a serviços terceirizados, em especial aqueles ligados a nuvem, processamento de dados, hospedagem de aplicações e outsourcing de infraestrutura. Fornecedores críticos terão de seguir padrões de segurança compatíveis com os exigidos das instituições financeiras, inclusive em termos de controles técnicos, governança, resposta a incidentes e continuidade de negócios. Na prática, o Banco Central deixa claro que não é possível “terceirizar o risco”: a responsabilidade final continua sendo da instituição contratante.
Esse ponto é particularmente sensível em um cenário em que boa parte das empresas financeiras depende de provedores de nuvem, plataformas de API, ferramentas SaaS e parceiros de tecnologia. Os contratos precisarão ser revisados para incluir cláusulas de segurança mais robustas, níveis de serviço (SLAs) específicos para incidentes cibernéticos, requisitos de auditoria e provas periódicas de conformidade.
A determinação de sempre exigir pentest antes da contratação ou integração de um novo software ganha relevância especial em ambientes que adotam ciclos de desenvolvimento ágeis, com entregas contínuas e integrações frequentes. Quanto mais rápido se desenvolve e se coloca algo em produção, maior a chance de vulnerabilidades passarem despercebidas se a segurança não estiver integrada ao processo desde o início. As novas diretrizes empurram o setor em direção à cultura de security by design e de DevSecOps.
Nesse contexto, o uso de inteligência artificial no desenvolvimento de software — seja para geração de código, testes automatizados ou análise de vulnerabilidades — traz benefícios, mas também novos riscos. Modelos de IA podem repetir padrões de insegurança presentes nos dados com que foram treinados, sugerir trechos de código vulneráveis ou facilitar a criação de ataques mais sofisticados. Além disso, há o risco de exposição indevida de dados sensíveis ao usar ferramentas de IA baseadas em nuvem sem a devida proteção.
A regulamentação do Banco Central não entra em detalhes específicos sobre IA, mas, ao reforçar a responsabilidade integral das instituições pela segurança de seus sistemas e cadeias tecnológicas, acaba abrangendo automaticamente o uso dessa tecnologia. Se a IA é empregada em qualquer etapa do desenvolvimento ou operação, a instituição precisa garantir que isso não ampliará a superfície de risco de forma descontrolada. Caberá às equipes técnicas definir critérios de uso, revisões humanas, camadas adicionais de testes e políticas explícitas para ferramentas de IA.
Outro pano de fundo importante é o fato de que o Brasil ainda carece de um marco verdadeiramente robusto de responsabilização por incidentes cibernéticos em infraestruturas críticas. Embora existam leis setoriais, normas regulatórias e a própria Lei Geral de Proteção de Dados, ainda há lacunas sobre punições, obrigações de notificação e padrões mínimos de proteção em setores essenciais. Nesse vácuo, o Banco Central avança, dentro de sua competência, e endurece as exigências para o sistema financeiro, que é considerado infraestrutura crítica pela relevância para a economia e a estabilidade social.
Isso significa que instituições financeiras que tratarem a cibersegurança apenas como custo ou burocracia regulatória tendem a enfrentar mais riscos, tanto operacionais quanto reputacionais. Em um incidente grave, a ausência de políticas práticas, de logs adequados ou de pentests recentes pode ser vista como negligência, ampliando sanções, perda de confiança do mercado e até ações judiciais.
Para além da conformidade regulatória, as novas regras podem ser vistas como oportunidade de maturar a gestão de riscos de tecnologia. Ao exigir processos mais estruturados de segurança, o Banco Central estimula investimentos em equipes especializadas, frameworks de governança, automação de controles e integração entre áreas de negócios, TI e compliance. Isso tende a aumentar a resiliência das instituições diante de ataques, falhas internas ou crises em fornecedores estratégicos.
Do ponto de vista prático, as instituições terão um período limitado para se adequar até a entrada em vigor das resoluções. Será necessário mapear lacunas em relação aos novos requisitos, revisar políticas e procedimentos, implementar ou aprimorar soluções técnicas (como ferramentas de gestão de vulnerabilidades, monitoramento de logs e autenticação forte), formalizar planos de testes de intrusão e renegociar contratos com terceiros críticos.
Para empresas menores, como fintechs em estágio inicial ou cooperativas de menor porte, o desafio será equilibrar custos de conformidade com capacidade operacional, sem comprometer inovação e competitividade. Já para grandes bancos, o esforço tende a estar mais ligado à padronização, integração de sistemas legados e consolidação de práticas entre diferentes unidades de negócios e subsidiárias.
Em síntese, a exigência oficial de pentest e o reforço das obrigações de cibersegurança marcam uma nova fase na regulação do setor financeiro brasileiro. A mensagem é direta: em um ambiente digitalizado e interconectado, não basta crescer rápido ou oferecer experiências inovadoras ao cliente; é indispensável provar, com fatos e evidências técnicas, que a operação é segura, auditável e preparada para enfrentar ameaças cibernéticas cada vez mais sofisticadas.