*Por Rafael Peruch // Em 1º de março entrou em vigor a Regulamentação nº 538/2025 do Banco Central, que estabelece novos requisitos de cibersegurança para instituições financeiras no Brasil. À primeira vista, pode parecer apenas mais uma atualização técnica de compliance. Na prática, porém, a medida sinaliza algo mais profundo: a cibersegurança deixou de ser um tema restrito à área de tecnologia e passou a ocupar um papel central na governança e na estratégia das empresas do setor.

Não quer perder as últimas notícias de tecnologia? Siga o perfil do 33Giga no Instagram e no Bluesky

A medida amplia responsabilidades relacionadas ao uso de computação em nuvem, à comunicação de dados e às operações dentro do Sistema Financeiro Nacional. Entre as exigências, estão testes periódicos de penetração, controles mais rigorosos de acesso e rastreabilidade, autenticação multifatorial, isolamento de ambientes críticos e critérios mais rígidos para gestão de certificados digitais, chaves privadas e fornecedores terceirizados.

A norma também introduz medidas de prevenção a vazamento de dados, fortalecimento das capacidades de inteligência cibernética e a realização de testes anuais conduzidos por terceiros independentes. Em conjunto, essas exigências refletem a crescente complexidade de um ecossistema financeiro que se digitalizou rapidamente nos últimos anos, impulsionado por inovações como o Pix e pela expansão do uso de infraestrutura em nuvem.

No entanto, olhar apenas para o lado técnico da regulamentação seria um erro. A mudança mais relevante está nas expectativas de governança que ela estabelece. A norma atribui maior responsabilidade aos conselhos e à alta liderança na supervisão de cibersegurança e exige uma integração mais próxima entre tecnologia, compliance e gestão de riscos. Isso significa que as instituições precisarão revisar fluxos internos, definir responsabilidades com mais clareza e garantir que os controles de segurança não estejam isolados, mas incorporados ao funcionamento da organização como um todo. Hoje, a maturidade em cibersegurança também envolve processos e tomada de decisões.

Algumas organizações podem argumentar que essas novas exigências apenas aumentam a pressão regulatória e a complexidade operacional. Os prazos de adequação são desafiadores e a implementação de novos controles frequentemente exige investimentos adicionais e coordenação interna. Apesar disso, olhando para o cenário mais amplo, essas medidas respondem a um ambiente de risco real. À medida que os serviços financeiros se tornam mais digitais e interconectados, o impacto potencial de incidentes cibernéticos cresce – não apenas para as instituições, mas também para clientes e para a estabilidade do próprio sistema financeiro.

Um aspecto crítico que não pode ser ignorado é o fator humano. Apesar dos avanços tecnológicos, erros humanos continuam entre as principais causas de incidentes de segurança, seja por uso inadequado de credenciais, seja por ataques de phishing ou gestão incorreta de acessos. Em setores altamente regulados como o financeiro, esses erros não representam apenas risco operacional, mas também exposição regulatória e reputacional.

Dados do relatório Phishing by Industry Benchmarking Report 2025, da KnowBe4, mostram que organizações que implementaram programas estruturados de treinamento em segurança reduziram a suscetibilidade a ataques de phishing em até 86% ao longo de 12 meses. Isso demonstra que fortalecer a cultura de segurança e a conscientização comportamental pode reduzir significativamente as vulnerabilidades.

Por isso, a mudança não deve ser vista apenas como uma obrigação de compliance. Ela representa uma oportunidade para que as instituições financeiras repensem como a cibersegurança é gerida em três dimensões fundamentais: pessoas, processos e tecnologia. Organizações que tratam segurança como uma questão estratégica de governança – e não apenas como um requisito técnico – estarão mais preparadas.

A questão central, portanto, não é apenas cumprir as novas exigências regulatórias. É entender se as instituições estão realmente preparadas, em termos de pessoas, processos e cultura, para lidar com um cenário em que o risco cibernético passa a ser também um risco sistêmico.

*Rafael Peruch é Consultor Técnico CISO da KnowBe4, empresa que oferece uma plataforma abrangente e agêntica best-of-suíte para Gestão de Riscos Humanos

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga