No final de dezembro de 2025, o Conselho Monetário Nacional (CMN) publicou a Resolução CMN nº 5.274/2025, que estabelece novos requisitos de segurança cibernética para todas as instituições autorizadas a funcionar pelo Banco Central do Brasil e que abrangem a oferta de serviços digitais.
Essa recente e importante atualização no âmbito da segurança cibernética alterou a Resolução CMN nº 4.893/2021, reforçando e ampliando as exigências de controles de segurança da informação. O objetivo claro é reduzir a vulnerabilidade das instituições a incidentes cibernéticos e fortalecer ainda mais a proteção de todo o ecossistema financeiro.
Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética devem abranger, dentre outras exigências, (i) mecanismos de prevenção e detecção de intrusão, (ii) definição e implementação de perfis de configuração segura de ativos de tecnologia, (iii) gestão de certificados digitais, e (iv) ações de inteligência no ambiente cibernético, incluindo o monitoramento de informações de interesse da instituição na internet, deep web e na dark web, além de grupos privados de comunicação (art. 3º, §2º, da Resolução CMN nº 4.893/2021).
Foi alterado o teor do relatório anual sobre a implementação do plano de ação e de resposta a incidentes, exigindo que sejam também incluídos no relatório “os resultados dos testes de intrusão e dos testes, varreduras e análises periódicas para detecção de vulnerabilidades”, bem como os planos de ação estabelecidos para as suas correções (art. 8º, §1º, V, da Resolução CMN nº 4.893/2021).
A Resolução também é destinada ao próprio Banco Central, apontando que a autarquia deverá observar a diretriz geral de que o conteúdo dispondo sobre os requisitos de segurança deverão acompanhar as inovações tecnológicas, a fim de manter sua aptidão como um dos procedimentos e controles para a implementação da política de segurança cibernética em cenários futuros (art. 24, §2º, II, da Resolução CMN nº 4.893/2021).
Para cada um dos controles previstos na regulamentação, o CMN estabelece requisitos específicos que devem ser analisados de maneira detalhada e individualizada, à luz do porte, do perfil de risco, da complexidade operacional e do modelo de negócios da instituição.
Esses parâmetros não se limitam à operação rotineira, mas devem também ser observados no desenvolvimento de sistemas seguros e na adoção de novas tecnologias pelas instituições, o que requer uma análise cuidadosa para assegurar a efetividade das medidas de segurança adotadas.
Atualizações como esta representam um avanço significativo no fortalecimento da resiliência cibernética do sistema financeiro frente a ciberataques, beneficiando tanto as instituições quanto os usuários finais.
O prazo para implementação das adequações exigidas é até 01 de março de 2026.
Diante da complexidade técnica e regulatória envolvida, o Peck Advogados conta com um time de especialistas, com ampla experiência em regulação financeira e gestão de incidentes cibernéticos, preparado para apoiar a sua instituição no alinhamento estratégico e regulatório, bem como na implementação das medidas necessárias, sempre alinhadas à realidade do seu negócio.
Elaborado por: Dr. Leandro Bissoli, Sócio, Dr. Lucas Arthuso, Advogado Especialista em Cibersegurança e Proteção de Dados e Dr. Cezar Najjarian, Advogado Especialista em Contencioso Digital.
Cada vez mais, as organizações estão usando um tipo de inteligência artificial de conversação para automatizar aspectos da experiência do cliente. Estamos falando do chatbot, […]
O General Data Protection Regulation – GDPR, que entrou em vigor na União Europeia no mês de maio de 2018, está com 4 anos de […]
Uma novidade este ano no mercado brasileiro de robôs de conversação é que eles precisam se adequar à Lei Geral de Proteção de Dados (LGPD), […]
Rua Henrique Schaumann, nº 270, 4º andar
Edifício Pinheiros Corporate,
São Paulo – SP | CEP: 05413-909
(11) 2189-0444