Confira artigo de Luiz Rossi, Head de Serviços da Selbetti
Poucos dias após a entrada em vigor das Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, o debate no setor financeiro gira em torno das consequências práticas da nova régua de segurança digital imposta pelo Banco Central. O movimento ocorre em um momento particularmente sensível: segundo dados recentes da Febraban, mais de 75% das transações bancárias no Brasil já são realizadas por canais digitais, enquanto o volume de tentativas de fraude eletrônica segue em trajetória de alta, impulsionado por ataques automatizados, engenharia social e exploração de vulnerabilidades em cadeias de fornecedores.
Instituições que já operavam sob frameworks internacionais consolidados — como ISO 27001, NIST, MITRE, CIS8 Controle, ou requisitos inspirados em Basileia para risco operacional — tendem a enfrentar menos fricção. Para elas, a nova norma funciona como harmonização regulatória: consolida controles que já estavam implementados, exige documentação mais detalhada e fortalece o ciclo de auditoria e evidências. O custo adicional, nesse caso, está mais relacionado a ajustes de processos, relatórios e integração de fornecedores do que a uma reconstrução estrutural.
O cenário é distinto para instituições menores, fintechs em fase de expansão acelerada e organizações que cresceram ancoradas em terceirização intensiva de tecnologia. Muitas dependem de múltiplos provedores de nuvem, APIs abertas e parceiros de processamento. A nova regulamentação aumenta a responsabilidade sobre essa cadeia estendida. Não basta confiar em cláusulas contratuais genéricas; será necessário comprovar due diligence técnica, avaliação periódica de controles, testes de vulnerabilidade e planos de contingência para indisponibilidade de serviços críticos.
Esse ponto altera bastante a dinâmica do setor. A supervisão indireta, via terceiros, passa a ser um dos principais vetores de risco regulatório. Incidentes ocorridos em fornecedores poderão gerar não apenas impacto operacional, mas questionamentos formais sobre falhas de governança. O Banco Central tem sinalizado, nos últimos anos, uma postura mais proativa na aplicação de medidas administrativas, inclusive com imposição de restrições operacionais em casos de descumprimento reiterado.
O ônus de quem não se adaptou
Primeiro, haverá impacto regulatório direto. A legislação confere ao Banco Central instrumentos para instaurar processos administrativos sancionadores, aplicar multas, determinar ajustes compulsórios e, em situações mais graves, impor limitações à atuação da instituição. Em um sistema altamente interconectado, a reputação regulatória pesa tanto quanto indicadores financeiros.
Segundo, o custo de capital tende a refletir o nível de maturidade em segurança. Investidores institucionais, fundos e parceiros internacionais já incorporam métricas de risco cibernético em suas análises de compliance e ESG. Uma instituição que apresente incidentes recorrentes, falhas de governança ou advertências do regulador passa a carregar prêmio de risco maior. Isso afeta captação, valuation e capacidade de expansão.
Terceiro, há o impacto concorrencial. O sistema financeiro brasileiro é um dos mais digitalizados do mundo, com Pix consolidado, open finance em operação e crescente integração com ecossistemas de varejo e serviços. Nesse ambiente, confiança é ativo central. Um vazamento relevante de dados, uma indisponibilidade prolongada ou uma fraude sistêmica podem provocar migração imediata de clientes. A elasticidade é alta: abrir conta ou transferir relacionamento bancário hoje é processo simples e rápido.
A nova regulação, portanto, tende a produzir uma seleção natural. Instituições que investiram de forma consistente em arquitetura segura, segmentação de redes, autenticação forte, criptografia adequada, monitoramento por centros de operações de segurança (SOC) e testes regulares de intrusão estarão melhor posicionadas para transformar conformidade em vantagem competitiva. Poderão comunicar ao mercado que operam sob padrões robustos, auditáveis e alinhados às melhores práticas internacionais.
Por outro lado, organizações que trataram segurança como custo acessório enfrentarão uma encruzilhada. Adaptar-se às pressas implica investimentos elevados em curto prazo: revisão de arquitetura, contratação de especialistas escassos, implementação de ferramentas de detecção e resposta a incidentes, formalização de políticas e treinamento de equipes. A escassez de profissionais qualificados em cibersegurança no Brasil adiciona complexidade e pressiona orçamentos.
No médio prazo, o sistema financeiro brasileiro pode sair fortalecido. Ao elevar o padrão mínimo, o Banco Central reduz assimetrias e dificulta que modelos de negócio baseados em fragilidade estrutural prosperem. A consolidação de práticas sólidas de gestão de risco digital tende a ampliar a confiança internacional no mercado local, sobretudo em um cenário de integração com sistemas globais de pagamento e investimentos.
A vigência das resoluções marca menos o início de uma obrigação e mais a consolidação de uma realidade: no sistema financeiro contemporâneo, segurança digital é infraestrutura básica. Não se trata mais de cumprir norma, mas de sustentar a própria operação e de construir uma estratégia baseada na resiliência cibernética. O setor que se antecipou tende a transformar exigência regulatória em diferencial estratégico. O que ficou para trás terá de correr — sob fiscalização mais atenta e em um ambiente competitivo que não tolera fragilidade prolongada.
