Por Luiz Rossi, head de serviços da Selbetti.
Poucos dias após a entrada em vigor das Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, o debate no setor financeiro gira em torno das consequências práticas da nova régua de segurança digital imposta pelo Banco Central.
O movimento ocorre em um momento particularmente sensível: segundo dados recentes da Febraban, mais de 75% das transações bancárias no Brasil já são realizadas por canais digitais, enquanto o volume de tentativas de fraude eletrônica segue em trajetória de alta, impulsionado por ataques automatizados, engenharia social e exploração de vulnerabilidades em cadeias de fornecedores.
Instituições que já operavam sob frameworks internacionais consolidados, como ISO 27001, NIST, MITRE, CIS8 Controle, ou requisitos inspirados em Basileia para risco operacional, tendem a enfrentar menos fricção.
Para elas, a nova norma funciona como harmonização regulatória: consolida controles que já estavam implementados, exige documentação mais detalhada e fortalece o ciclo de auditoria e evidências.
O custo adicional, nesse caso, está mais relacionado a ajustes de processos, relatórios e integração de fornecedores do que a uma reconstrução estrutural.
O cenário é distinto para instituições menores, fintechs em fase de expansão acelerada e organizações que cresceram ancoradas em terceirização intensiva de tecnologia. Muitas dependem de múltiplos provedores de nuvem, APIs abertas e parceiros de processamento.
A nova regulamentação aumenta a responsabilidade sobre essa cadeia estendida.
Não basta confiar em cláusulas contratuais genéricas; será necessário comprovar due diligence técnica, avaliação periódica de controles, testes de vulnerabilidade e planos de contingência para indisponibilidade de serviços críticos.
Esse ponto altera bastante a dinâmica do setor. A supervisão indireta, via terceiros, passa a ser um dos principais vetores de risco regulatório. Incidentes ocorridos em fornecedores poderão gerar não apenas impacto operacional, mas questionamentos formais sobre falhas de governança.
O Banco Central tem sinalizado, nos últimos anos, uma postura mais proativa na aplicação de medidas administrativas, inclusive com imposição de restrições operacionais em casos de descumprimento reiterado.
O ônus de quem não se adaptou
Primeiro, haverá impacto regulatório direto. A legislação confere ao Banco Central instrumentos para instaurar processos administrativos sancionadores, aplicar multas, determinar ajustes compulsórios e, em situações mais graves, impor limitações à atuação da instituição.
Em um sistema altamente interconectado, a reputação regulatória pesa tanto quanto indicadores financeiros.
Segundo, o custo de capital tende a refletir o nível de maturidade em segurança. Investidores institucionais, fundos e parceiros internacionais já incorporam métricas de risco cibernético em suas análises de compliance e ESG.
Uma instituição que apresente incidentes recorrentes, falhas de governança ou advertências do regulador passa a carregar prêmio de risco maior. Isso afeta captação, valuation e capacidade de expansão.
Terceiro, há o impacto concorrencial. O sistema financeiro brasileiro é um dos mais digitalizados do mundo, com Pix consolidado, open finance em operação e crescente integração com ecossistemas de varejo e serviços. Nesse ambiente, confiança é ativo central.
Um vazamento relevante de dados, uma indisponibilidade prolongada ou uma fraude sistêmica podem provocar migração imediata de clientes. A elasticidade é alta: abrir conta ou transferir relacionamento bancário hoje é processo simples e rápido.
A nova regulação, portanto, tende a produzir uma seleção natural. Instituições que investiram de forma consistente em arquitetura segura, segmentação de redes, autenticação forte, criptografia adequada, monitoramento por centros de operações de segurança (SOC) e testes regulares de intrusão estarão melhor posicionadas para transformar conformidade em vantagem competitiva.
Poderão comunicar ao mercado que operam sob padrões robustos, auditáveis e alinhados às melhores práticas internacionais.
Por outro lado, organizações que trataram segurança como custo acessório enfrentarão uma encruzilhada. Adaptar-se às pressas implica investimentos elevados em curto prazo: revisão de arquitetura, contratação de especialistas escassos, implementação de ferramentas de detecção e resposta a incidentes, formalização de políticas e treinamento de equipes.
A escassez de profissionais qualificados em cibersegurança no Brasil adiciona complexidade e pressiona orçamentos.
No médio prazo, o sistema financeiro brasileiro pode sair fortalecido. Ao elevar o padrão mínimo, o Banco Central reduz assimetrias e dificulta que modelos de negócio baseados em fragilidade estrutural prosperem.
A consolidação de práticas sólidas de gestão de risco digital tende a ampliar a confiança internacional no mercado local, sobretudo em um cenário de integração com sistemas globais de pagamento e investimentos.
A vigência das resoluções marca menos o início de uma obrigação e mais a consolidação de uma realidade: no sistema financeiro contemporâneo, segurança digital é infraestrutura básica.
Não se trata mais de cumprir norma, mas de sustentar a própria operação e de construir uma estratégia baseada na resiliência cibernética. O setor que se antecipou tende a transformar exigência regulatória em diferencial estratégico.
O que ficou para trás terá de correr, sob fiscalização mais atenta e em um ambiente competitivo que não tolera fragilidade prolongada.
