Resolução CMN nº 5.274/2025: faltam 30 dias – sua segurança cibernética está pronta para o novo nível de exigência?
Faltando menos de 30 dias para o novo prazo estabelecido pelo Banco Central, a pergunta que precisa ser feita é direta: o quão preparada está, de fato, a segurança cibernética do seu negócio?
Nos últimos anos, temas como risco cibernético, proteção de dados e continuidade de serviços ganharam espaço nas pautas de conselhos, comitês de auditoria e reuniões estratégicas. Muitas instituições estruturaram políticas robustas, adotaram frameworks reconhecidos internacionalmente, contrataram fornecedores especializados e criaram relatórios e dashboards de segurança. No papel, a maioria parece estar coberta.
A Resolução CMN nº 5.274/2025, porém, altera esse cenário de forma discreta, mas profunda. Ao definir um prazo concreto para adequação – com limite em março deste ano – o Banco Central deixa claro que segurança não pode mais ser tratada apenas como compromisso formal ou requisito documental. Ela passa a ser, na prática, uma capacidade operacional: algo que precisa existir, funcionar, ser testado e operar continuamente, todos os dias, e não apenas em auditorias anuais.
Com a proximidade da data limite, a questão central deixa de ser “temos uma política de segurança aprovada?” e passa a ser bem mais desconfortável: “conseguimos, hoje, detectar, conter e responder a um incidente relevante no tempo e com a eficácia que o regulador espera?”. Em outras palavras, o foco migra de “ter controles” para “fazer esses controles funcionarem sob pressão”.
Esse desconforto é justificado. Estudos internacionais apontam que o setor financeiro está entre os mais atacados e entre os que mais sofrem impacto financeiro com incidentes cibernéticos. Relatórios como o Cost of a Data Breach, da IBM, mostram que instituições financeiras levam, em média, mais de cinco meses para identificar que estão sob ataque e ainda precisam de várias semanas para contê-lo. Em um ambiente regulado, em que segundos de indisponibilidade podem significar perdas relevantes, esse tempo é simplesmente inaceitável.
É justamente esse intervalo crítico – entre o início do ataque e sua identificação – que o regulador deixa de tolerar. A mensagem implícita da Resolução é clara: não basta mais descobrir o incidente quando o dano já está consolidado; é preciso encurtar drasticamente o tempo de detecção, resposta e recuperação, com processos que funcionem na prática, não apenas em manuais.
A nova norma não é apenas um reforço técnico. Ela representa uma mudança de expectativa sobre o comportamento das instituições. O centro de gravidade sai do compliance formal e migra para a resiliência operacional. Sai do planejamento estático e entra no ciclo de execução, monitoramento e melhoria contínua. Sai da visão de “evento raro” para a noção de que incidentes são esperados e devem ser tratados como parte do dia a dia da operação.
No sistema financeiro cada vez mais digital, aberto e interconectado, ataques deixaram de ser exceção para se tornarem componente estrutural do risco de negócio. A maturidade de uma instituição passa a ser medida não pela ausência de incidentes – algo irrealista -, mas pela sua capacidade de percebê-los rapidamente, responder de forma coordenada, limitar o impacto, comunicar adequadamente e aprender com o ocorrido, ajustando processos e controles de forma ágil.
No Brasil, esse risco já deixou de ser teórico faz tempo. Dados divulgados pelo próprio Banco Central mostram dezenas de incidentes de cibersegurança notificados no sistema financeiro nos últimos anos, muitos deles relacionados a vazamento de dados, indisponibilidade de serviços e falhas em integrações críticas. Não se trata mais de um cenário hipotético: é uma realidade com efeitos diretos sobre a operação, a relação com clientes, a reputação e, cada vez mais, sobre a percepção do regulador quanto à capacidade de gestão de risco da instituição.
Esse tema ganha relevância adicional em ambientes considerados críticos, como Pix, sistemas de liquidação (STR), integrações via APIs abertas, open finance e operações baseadas em computação em nuvem. Vulnerabilidades nesses contextos não são apenas “problemas técnicos”. Elas afetam a experiência de milhões de usuários, expõem parceiros, desestabilizam cadeias inteiras de serviços e abalam a confiança no sistema financeiro como um todo – o que, inevitavelmente, chama a atenção das autoridades.
A Resolução CMN nº 5.274 reforça ainda uma questão frequentemente subestimada: terceirizar não significa transferir responsabilidade. Mesmo que a infraestrutura rode em nuvem, que o processamento esteja em data centers de terceiros ou que parte relevante do ambiente seja gerida por provedores especializados, a obrigação de garantir segurança, monitoramento, governança de acessos, registro de logs, testes e resposta a incidentes continua recair sobre a instituição regulada. Na visão do Banco Central, não existe “culpa do fornecedor” como justificativa para a falta de diligência.
Isso exige uma mudança clara de postura. Segurança cibernética deixa de ser um problema “da TI” ou “da equipe de segurança da informação” para se tornar um assunto de liderança executiva e de governança corporativa. Envolve decisões de orçamento, apetite a risco, priorização de projetos, critérios de contratação, metas de desempenho e, principalmente, responsabilidades claras. Conselhos e diretoria precisam entender que risco cibernético é risco de negócio, com impacto direto sobre continuidade operacional, valor da marca e até responsabilidade pessoal de administradores em determinados contextos.
Organizações que continuam tratando a segurança como um conjunto de controles estáticos – revisados apenas para atender auditorias ou responder questionários – tendem a descobrir incidentes tarde demais, com respostas descoordenadas, comunicações truncadas e dificuldade de comprovar diligência junto ao regulador. Já aquelas que encaram segurança como parte viva da operação desenham processos de monitoramento contínuo, simulações de incidentes (exercícios de mesa, testes de resposta), revisões periódicas de configurações e acompanhamento próximo de terceiros, ganhando previsibilidade e confiança interna e externa.
Na prática, a Resolução funciona como um divisor de águas entre quem apenas declara ter segurança e quem demonstra isso no dia a dia. Para estar aderente, não basta listar ferramentas: é necessário comprovar que existem controles de detecção, triagem, escalonamento, tomada de decisão e recuperação, com papéis definidos, fluxos claros e evidências de que esses processos são conhecidos e praticados. Isso inclui a integração entre áreas de negócio, tecnologia, jurídico, compliance, comunicação e atendimento ao cliente durante crises.
O prazo dado pelo Banco Central não deveria ser interpretado apenas como mais uma exigência regulatória em meio a tantas outras. Ele é um sinal bastante objetivo de que o nível de maturidade esperado em segurança cibernética subiu. E, como acontece com outras regulações, a tendência é que o mercado seja gradualmente segmentado entre instituições que se adaptam rapidamente a esse novo patamar e aquelas que apenas reagem quando já estão sob escrutínio.
Com menos de 30 dias restantes, as perguntas realmente relevantes deixaram de ser se a norma foi lida, se um comitê foi criado ou se a política de segurança recebeu a última atualização de versão. O ponto crucial é outro: a organização é capaz, hoje, de demonstrar na prática aquilo que sempre sustentou em seus discursos, apresentações e relatórios ao conselho?
Essa resposta não está nos documentos, mas na operação diária. Está na forma como alertas são priorizados, na qualidade dos registros de logs, no tempo que uma anomalia leva para ser analisada, na clareza do fluxo de decisão em incidentes críticos, na frequência de testes de recuperação, na maturidade das integrações com provedores terceirizados e na capacidade de comunicar corretamente um evento de segurança a clientes e ao regulador, se necessário.
Para quem ainda está distante desse cenário, o momento pede objetividade. Com o prazo tão curto, não é viável tentar resolver todos os problemas estruturais de uma vez. Mas é possível – e necessário – priorizar. Mapear quais ativos, sistemas e integrações são mais críticos, identificar os maiores pontos cegos de monitoramento, revisar rapidamente perfis de acesso privilegiado, fortalecer processos mínimos de resposta a incidentes e garantir canais claros de escalonamento. Não é uma transformação completa, mas é um começo tangível que reduz risco imediato e demonstra diligência.
Outro eixo essencial é a visibilidade. Não há como responder a incidentes que você não vê. Instituições que ainda não possuem visão consolidada de eventos de segurança, trilhas de auditoria minimamente completas e correlação entre logs de diferentes ambientes (on-premises, nuvem, APIs, aplicações de terceiros) têm dificuldade em cumprir o objetivo central da Resolução: encurtar o tempo entre o ataque e sua detecção. Investir em observabilidade, centralização de logs e uso inteligente de automação (como SOAR e detecções com base em comportamento) não é luxo: é requisito para sobreviver em um ambiente cada vez mais hostil.
Treinamento e cultura também entram na conta. A melhor ferramenta perde eficácia se a equipe não souber como agir sob pressão. Isso significa capacitar não apenas o time técnico, mas gestores de negócio, comunicação, jurídico e atendimento para atuarem de forma coordenada em incidentes de segurança. Simulações periódicas ajudam a identificar gargalos, ajustar fluxos e reduzir improvisos em situações reais.
Por fim, vale lembrar que aderir à Resolução CMN nº 5.274/2025 não é apenas “evitar problema com o regulador”. É proteger a própria instituição, seus clientes e a confiança no sistema financeiro. Atender ao mínimo regulatório é obrigação; ir além, buscando resiliência real, pode se tornar diferencial competitivo. Clientes e parceiros tendem a valorizar instituições que demonstram transparência, responsabilidade e competência na gestão de riscos cibernéticos.
O tempo está correndo. Em poucas semanas, não bastará afirmar que segurança é prioridade: será preciso mostrar, com fatos, processos e evidências, que a organização está preparada para um cenário em que incidentes não são questão de “se”, mas de “quando” – e de “como” lidar com eles.