Banco Central quer tirar a cibersegurança da TI e transformar o tema em responsabilidade de todo o banco
A proteção digital deixou de ser um assunto restrito a técnicos e analistas e passou a ser tratada como tema central da estratégia de negócios das instituições financeiras no Brasil. Essa mudança de perspectiva vem sendo impulsionada diretamente pelo Banco Central (BC), que defende uma revisão profunda na forma como bancos e demais players do sistema financeiro enxergam a cibersegurança.
Durante o Febraban Sec 2026, Antonio Marcos Guimarães, chefe-adjunto do Departamento de Regulação do Sistema Financeiro do BC, reforçou que já não é aceitável manter a cibersegurança “presa” dentro da área de Tecnologia da Informação. Segundo ele, o tema precisa ser incorporado à estrutura de governança, ao gerenciamento de riscos e aos processos decisórios da instituição como um todo, incluindo diretoria executiva e conselho de administração.
A mensagem é objetiva: segurança digital não é mais um problema técnico a ser resolvido apenas por quem entende de código, infraestrutura ou redes. Trata-se de um elemento essencial para a continuidade operacional, para a confiança do público no sistema financeiro e para a própria estabilidade do mercado. Um incidente grave não atinge só servidores e sistemas; afeta a reputação, a liquidez, a imagem perante reguladores e clientes e pode gerar impactos financeiros significativos.
Essa visão mais ampla está alinhada às novas normas publicadas pelo Banco Central, como a Resolução CMN 5.274 e a Resolução BCB 538, que atualizam o marco regulatório anterior e elevam o nível de exigência em cibersegurança. Em vez de diretrizes genéricas, o regulador passou a adotar uma abordagem mais detalhada, com requisitos claros para processos, tecnologias e governança.
Entre os pontos obrigatórios, destacam-se:
– implementação de autenticação multifator para acesso a sistemas críticos;
– uso consistente de criptografia para proteção de dados sensíveis em trânsito e em repouso;
– realização periódica de testes de invasão (pentests) e avaliações de vulnerabilidades;
– segmentação de redes para reduzir a superfície de ataque e limitar movimentações laterais de invasores;
– gestão estruturada de certificados digitais e chaves criptográficas.
As instituições financeiras tiveram até março de 2026 para se adequar às novas regras, o que exigiu investimentos, revisão de processos internos, atualização de ferramentas e, sobretudo, mudança na cultura organizacional. Não se trata apenas de comprar soluções tecnológicas, mas de repensar responsabilidades, fluxos de decisão e a forma como riscos são avaliados e priorizados.
Um elemento importante dessa transformação é a exigência de maior independência do responsável por segurança da informação. A Instrução Normativa nº 9 do GSI determina que o gestor de segurança ocupe uma posição estratégica, desvinculada da operação de TI, sem acúmulo de funções que possam gerar conflitos de interesse. O objetivo é garantir que esse profissional tenha autonomia para apontar vulnerabilidades, propor medidas e eventualmente contestar decisões que aumentem o risco cibernético, sem sofrer pressão direta da área responsável por manter sistemas funcionando.
Essa separação é crucial: quando TI e segurança estão sob o mesmo comando operacional, tende a prevalecer a lógica da disponibilidade, do “não pode parar”, em detrimento da proteção. Ao colocar o gestor de segurança em um patamar estratégico, aproximado da alta gestão, o BC busca assegurar que decisões sobre risco digital sejam tratadas com o mesmo peso de questões de crédito, liquidez e capital.
Outro tema que ganha relevância na agenda do Banco Central é o avanço da inteligência artificial (IA) e seus riscos específicos. O regulador chama atenção sobretudo para o chamado data poisoning, técnica em que dados de treinamento ou de entrada são manipulados de forma maliciosa para distorcer o comportamento de modelos de IA. Em um cenário em que algoritmos começam a apoiar decisões de crédito, detecção de fraudes e análise de comportamento de clientes, a integridade dos dados se torna um ponto crítico.
Segundo o BC, muitas instituições ainda apresentam fragilidades na validação de dados usados em modelos de IA, tanto na origem quanto ao longo do ciclo de vida. Falta, em muitos casos, governança para garantir rastreabilidade, auditoria e capacidade de explicar decisões automatizadas. Sem isso, cresce o risco de que modelos sejam manipulados, gerem falsos negativos em detecção de fraude ou tomem decisões enviesadas e incorretas, com impactos regulatórios, financeiros e reputacionais.
Para responder a esse novo cenário, o Banco Central vem estruturando um projeto corporativo amplo, que reúne 16 iniciativas regulatórias com foco em três frentes interligadas: cibersegurança, prevenção a fraudes e governança de IA. A lógica é tratar esses temas não como trilhas separadas, mas como partes de um mesmo ecossistema de resiliência digital. Um sistema seguro precisa, ao mesmo tempo, proteger dados, detectar e mitigar fraudes e garantir que algoritmos sejam confiáveis, auditáveis e alinhados às normas.
Esse movimento regulatório ocorre em um contexto de aumento expressivo dos incidentes cibernéticos envolvendo instituições financeiras. Ataques de ransomware, sequestro de credenciais, engenharia social sofisticada, exploração de vulnerabilidades em APIs e integrações com fintechs têm se tornado mais frequentes e complexos. Ao mesmo tempo, a maturidade de segurança de muitas organizações brasileiras ainda está aquém do desejável, mesmo com o país figurando em posições de destaque em alguns rankings globais de cibersegurança.
Na prática, o que se vê é uma distância entre o que a regulação exige e o que de fato é implementado no dia a dia. Políticas formais existem, mas nem sempre estão internalizadas na cultura da instituição. Processos são desenhados, mas não são continuamente testados e aprimorados. Ferramentas são adquiridas, porém subutilizadas ou mal configuradas. É essa lacuna entre papel e realidade que o Banco Central busca reduzir ao reforçar a ideia de que segurança é responsabilidade de toda a organização.
Para que essa mudança aconteça, não basta envolver o conselho de administração em reuniões pontuais sobre riscos tecnológicos. É necessário que a alta liderança patrocine o tema de forma ativa: definindo apetite de risco cibernético, acompanhando indicadores de segurança, aprovando investimentos estruturantes e cobrando resultados claros. Do lado operacional, áreas como produtos, canais, jurídico, compliance, RH e atendimento ao cliente precisam enxergar seu papel na proteção digital: desde o desenho seguro de jornadas do usuário até campanhas consistentes de conscientização contra golpes.
Um ponto-chave é incorporar a cibersegurança desde a concepção de novos produtos e serviços, seguindo princípios de security by design e privacy by design. Em vez de “colar” controles de segurança ao final do desenvolvimento, as instituições são estimuladas a considerar riscos cibernéticos desde as primeiras etapas: qual dado será coletado? Como será armazenado? Quem poderá acessá-lo? Quais superfícies de ataque são criadas por essa nova funcionalidade? Isso reduz retrabalho, custos e a probabilidade de falhas graves em produção.
Outro aspecto prático é a necessidade de criar e exercitar planos de resposta a incidentes que envolvam a participação de diversas áreas, e não apenas de TI. Em um ataque relevante, é preciso alinhar comunicação com clientes, mercado e reguladores, avaliar impactos legais, tomar decisões rápidas sobre continuidade de operações e, em paralelo, conter o ataque e iniciar processos de análise forense. Sem um plano integrado e testado, cada área tende a agir de forma isolada, o que amplia danos e tempo de recuperação.
O tema da capacitação também entra no centro da discussão. O Banco Central, ao colocar a cibersegurança como pilar estratégico, indiretamente indica que treinamentos genéricos anuais já não são suficientes. Profissionais de negócios precisam entender riscos digitais básicos; equipes de desenvolvimento devem dominar práticas de codificação segura; gestores têm de interpretar relatórios de risco cibernético e saber como isso se conecta às metas da instituição. A cultura de segurança se constrói com repetição, clareza de mensagens e alinhamento de incentivos.
Para as instituições menores ou em fase de crescimento acelerado, como fintechs, o desafio é equilibrar agilidade e inovação com controles robustos. A pressão por lançar produtos rapidamente muitas vezes leva à priorização de funcionalidades em detrimento da segurança. A nova postura do BC sinaliza que esse trade-off não é mais aceitável: velocidade de inovação não pode significar vulnerabilidade sistêmica. Modelos de governança proporcionais ao porte e à complexidade do negócio precisam ser implementados desde o início.
Em última instância, o movimento conduzido pelo Banco Central busca consolidar uma nova mentalidade no setor financeiro brasileiro: cibersegurança não é um custo inevitável, e sim um ativo competitivo e um pré-requisito para a confiança do mercado. Instituições que internalizarem essa visão tendem a responder melhor a incidentes, inovar com mais segurança, conquistar a confiança de clientes e parceiros e se posicionar de forma mais sólida diante de reguladores.
A transformação proposta não se limita a cumprir resoluções ou atender checklists de conformidade. Trata-se de incorporar o risco cibernético ao coração da estratégia corporativa, reconhecendo que, em um sistema financeiro cada vez mais digital, a fronteira entre segurança, continuidade de negócios e reputação simplesmente deixou de existir.