O Banco Central e o Conselho Monetário Nacional mudaram as regras sobre computação em nuvem e segurança cibernética no sistema financeiro. As Resoluções BCB 538 e CMN 5.274 passam a considerar a nuvem como infraestrutura crítica, sujeita a controles técnicos detalhados e a uma supervisão mais rigorosa.
O novo modelo é mais prescritivo, com o Banco Central reduzindo o espaço para interpretações e exigindo a adoção de mecanismos específicos de proteção, desde controles de autenticação, criptografia, rastreabilidade, gestão de vulnerabilidades, testes de intrusão periódicos e ações de inteligência cibernética, incluindo o monitoramento de informações na internet aberta, na deep web e na dark web.
A mudança mais sensível está na exigência de isolamento físico e lógico dos ambientes do Pix e do Sistema de Transferência de Reservas (STR). Sempre que esses sistemas operarem em nuvem, as instituições deverão manter instâncias dedicadas e apartadas dos demais ambientes.
As novas normas também ampliam o alcance da regulação ao classificar expressamente a comunicação eletrônica de dados na Rede do Sistema Financeiro Nacional (RSFN) como serviço relevante para fins das regras de contratação de nuvem. A exigência vale independentemente da forma de conexão e inclui prestadores que realizam o processamento de mensagens no âmbito do SFN e do Sistema de Pagamentos Brasileiro.
As resoluções vedam o acesso de empresas prestadoras de serviços às chaves privadas associadas a certificados digitais utilizados na assinatura de mensagens, especialmente no Pix, e detalham obrigações sobre a gestão e a guarda desses certificados. O regulador também reforça que os controles de acesso, a segmentação de redes e o monitoramento de conexões fora do horário comercial devem se aplicar plenamente aos ambientes em nuvem.
No campo da cibersegurança, as regras tornam mais rigorosos os requisitos de testes de intrusão, que passam a ter periodicidade mínima anual, devem ser realizados com independência e gerar documentação formal, incluindo planos de ação para correção das vulnerabilidades identificadas.
Esses resultados, assim como os incidentes cibernéticos relevantes e os testes de continuidade de negócios, passam a integrar os relatórios periódicos à alta administração, aproximando o tema da governança estratégica das instituições. As instituições financeiras e de pagamento têm até 1º de março de 2026 para se adequar às novas exigências.
