O Conselho Monetário Nacional publicou, em dezembro de 2025, a Resolução CMN nº 5.274/2025, que altera a Resolução CMN nº 4.893/2021, responsável por disciplinar a política de segurança cibernética das instituições financeiras autorizadas a funcionar pelo Banco Central do Brasil.
A norma reflete o avanço da digitalização do sistema financeiro e o aumento do tráfego na Rede do Sistema Financeiro Nacional (“RSFN”), reforçando a abordagem regulatória baseada em gestão de riscos, governança e responsabilidade contratual.
Principais Alterações
A Resolução CMN nº 5.274/2025 aprofunda e detalha os controles mínimos de segurança cibernética já previstos na Resolução CMN nº 4.893/2021. Além dos mecanismos anteriormente exigidos, como autenticação, criptografia, prevenção de intrusões, gestão de vulnerabilidades e rastreabilidade, as alterações promovidas pela nova Resolução a proteção de redes e de certificados digitais, controles de acesso, gestão de cópias de segurança de dados e informações, bem como a adoção de ações estruturadas de inteligência cibernética, com monitoramento contínuo de ameaças na internet, Deep Web e Dark Web.
No âmbito da RSFN, a inclusão do artigo 3º-A estabelece requisitos específicos para as comunicações eletrônicas de dados, destacando-se a obrigatoriedade de autenticação multifator para acessos administrativos aos ambientes do Pix e do STR, o isolamento físico e lógico desses ambientes, inclusive em nuvem, a validação de integridade das transações antes da assinatura digital e a vedação de acesso de terceiros às chaves privadas dos certificados digitais.
A norma também reforça a exigência de testes de intrusão periódicos, com periodicidade mínima anual, independência técnica, documentação dos resultados e reporte à alta administração, com retenção das evidências por cinco anos.
Adicionalmente, os requisitos de segurança passam a se estender aos sistemas operados ou desenvolvidos por terceiros, quando executados com recursos computacionais da própria instituição, ampliando a governança sobre a cadeia de fornecedores tecnológicos.
Impactos
As alterações introduzidas pela Resolução CMN nº 5.274/2025 produzem impactos relevantes de natureza operacional, contratual e de governança. A formalização de controles mínimos mais detalhados e auditáveis tende a demandar investimentos adicionais em tecnologia, processos e equipes especializadas, especialmente nas áreas de cibersegurança e gestão de riscos.
Do ponto de vista contratual, as exigências relativas ao isolamento dos ambientes do Pix e do STR e à ampliação da governança sobre terceiros impactam diretamente contratos de computação em nuvem e serviços tecnológicos críticos, podendo exigir ajustes de arquitetura, revisão de SLAs e reavaliação de modelos de terceirização.
A norma eleva, assim, o nível de exigência regulatória em matéria de segurança cibernética, demandando atuação coordenada entre as áreas jurídica, tecnológica, de riscos e de governança.