Nos últimos anos, a segurança cibernética virou um tema recorrente nos conselhos, nos comitês de risco e nas conversas estratégicas da alta liderança. Em geral, acompanhado de políticas bem estruturadas, frameworks reconhecidos e contratos com fornecedores especializados.
A Resolução CMN nº 5.274/2025 muda esse cenário de forma silenciosa — e profunda. Ao estabelecer um prazo claro para adequação (até março deste ano), o Banco Central sinaliza que a segurança deixou de ser um compromisso formal e passou a ser uma capacidade que precisa existir, funcionar e responder continuamente.
Com a data limite se aproximando, a pergunta deixa de ser “temos uma política?” e passa a ser outra, bem mais incômoda: estamos realmente preparados para lidar com um incidente relevante quando — não se — ele acontecer?
Essa inquietação não surge por acaso. Estudos globais mostram que o setor financeiro está entre os mais visados por ataques cibernéticos e também entre os que registram os maiores impactos financeiros quando um incidente ocorre. De acordo com o Cost of a Data Breach Report, da IBM, instituições financeiras levam, em média, mais de cinco meses para identificar um ataque e ainda precisam de semanas adicionais para contê-lo. Em um ambiente altamente regulado, esse tempo faz toda a diferença.
É exatamente esse intervalo — entre o início do incidente e sua descoberta — que o regulador passa a não aceitar mais.
O que a nova resolução traz não é apenas um reforço técnico. Ela traduz uma mudança clara de expectativa. O foco sai do papel e vai para a operação. Sai do planejamento e entra na execução. Sai do eventual e passa a exigir constância.
Em um sistema financeiro cada vez mais digital, integrado e exposto, incidentes deixaram de ser exceção. São eventos esperados. E a maturidade de uma instituição passa a ser medida não pela ausência de problemas, mas pela capacidade de detectá-los rapidamente, responder de forma coordenada e aprender com eles.
No Brasil, esse risco já é concreto. Dados divulgados pelo próprio Banco Central indicam dezenas de incidentes de cibersegurança registrados no sistema financeiro nos últimos dois anos. Não se trata mais de uma hipótese futura, mas de uma realidade presente, com impacto operacional, regulatório e reputacional.
Esse ponto se torna ainda mais sensível em ambientes críticos como Pix, STR, integrações via APIs e operações em nuvem. Falhas nesses contextos não são apenas técnicas. Elas afetam clientes, parceiros e a confiança no sistema como um todo — e inevitavelmente atraem a atenção do regulador.
A CMN 5.274 também reforça um aspecto que ainda gera desconforto em muitas organizações: a terceirização não transfere responsabilidade. Mesmo quando a infraestrutura ou o processamento estão fora de casa, a obrigação de garantir segurança, monitoramento e resposta continua sendo da instituição regulada.
Na prática, isso exige uma mudança de postura. Segurança deixa de ser um tema restrito à área técnica e passa a ser um assunto de liderança. De governança. De decisão executiva.
Instituições que ainda tratam segurança cibernética como um conjunto de controles estáticos tendem a descobrir incidentes tarde demais, responder de forma fragmentada e ter dificuldade em demonstrar diligência quando mais precisam. Já aquelas que encaram segurança como parte viva da operação ganham previsibilidade, controle e confiança — interna e externamente.
O prazo imposto pelo Banco Central não deveria ser visto apenas como mais uma obrigação regulatória. Ele é um alerta claro de que o nível de exigência mudou.
Faltando menos de 30 dias, a pergunta que realmente importa não é se a norma foi lida ou se a política foi atualizada. É se a organização consegue, hoje, sustentar na prática aquilo que sempre afirmou no discurso.
E essa resposta não está nos documentos.
Ela aparece, todos os dias, na forma como a instituição opera.
*Denis Furtado é engenheiro de sistemas e diretor da Smart Solutions, distribuidora brasileira de soluções antifraude e de cibersegurança. Mais informações no site.
