Instituições que não cumprirem os requisitos podem enfrentar sanções severas, suspensão de operações e multas bilionárias; entenda o que fazer para alcançar a regularidade até o prazo.
Dando início a um ciclo de maturidade regulatória, o ano de 2026 começa com a exigência de adequações cruciais para empresas de tecnologia voltadas ao mercado financeiro: a partir de 1° de março de 2026, as fintechs, instituições de pagamentos e entidades que fazem parte do Sistema Financeiro Nacional (SFN) deverão comprovar que seguem controles mínimos de cibersegurança exigidos pelas Resoluções CMN n° 5.274/2025 e BCB n° 538/2025, publicadas em 18 de dezembro de 2025 pelo Conselho Monetário Nacional (CMN) junto ao Banco Central.
O conjunto de medidas traz 14 novos controles mínimos mandatórios que aumentam o nível de segurança e requisitos de conformidade legal do sistema nacional. São eles:
- Para ambientes críticos: exigências como Multi-Factor Authentication (MFA) para acessos administrativos, isolamento físico e lógico de ambientes, inclusive em nuvem, com instâncias dedicadas, e validação de integridade de ponta a ponta antes da assinatura digital.
- Para todos: autenticação forte, criptografia, prevenção e detecção de intrusões, proteção contra vazamento de dados, rastreabilidade de acessos, backup, gestão de vulnerabilidades, hardening de sistemas, proteção de rede, gestão de certificados digitais, requisitos específicos para integrações via APIs e inteligência cibernética com monitoramento contínuo da internet, deep web e dark web.
Considerado por especialistas como a “seleção natural das fintechs”, o conjunto de medidas demanda ainda que as instituições comprovem a existência e frequência de testes das obrigações citadas anteriormente. O Bacen deixa claro que exigirá "trilhas de auditoria do processamento fim a fim dos dados e das informações.”
Foto: Reprodução/Marcello Casal Jr/Agência Brasil
O diretor de Fiscalização do Bacen, Ailton de Aquino, disse que a mudança pode levar a uma saída organizada de instituições do sistema. “Esta não é uma norma para reduzir o universo supervisionado, é uma norma muito clara para equilibrar o jogo”, disse Aquino.
Crítico do amadorismo em fintechs, o diretor prevê que o endurecimento da regra reforçará uma evolução do sistema que seja associada a um cuidado com segurança.
“Para uma empresa de tecnologia, a garagem pode ser algo importante. Agora, para uma instituição financeira, que precisa ter confiança e estruturas robustas, penso que não é o melhor modelo”
Quais são as consequências para as instituições e fintechs que não se adequarem?
O não cumprimento das novas mandatórias implicará em bloqueio de ativos, limitação de operações imediatas, cassação de licença e multas pecuniárias. Em caso de suspeitas sobre falhas de governança que facilitem lavagem de dinheiro, as punições ultrapassam a esfera administrativa e as fintechs podem responder também judicialmente.
As medidas surgiram após o aumento de fraudes e ataques cibernéticos, elevando o nível de exigência de segurança e conformidade legal. O uso massivo de contas e ecossistemas de pagamentos instantâneos aliados ao crescimento de plataformas digitais criaram novas zonas cinzentas entre o financeiro e o tecnológico.
Dessa forma, o principal objetivo das resoluções é fortalecer o padrão de resiliência operacional e segurança de dados de empresas autorizadas.
Foto: Adobe Stock
As novas obrigações jurídicas e operacionais são inegociáveis para a sobrevivência dos negócios. Este novo pacote regulatório inaugura a era do "controle comprovável", onde a adoção de cada frente de controle mínimo deverá ser reportado com evidências técnicas, testes de intrusão independentes (pentests) e uma documentação estruturada para suportar auditorias.
Se o período de 2020 a 2024 foi caracterizado pela inovação permissiva e ambientes de testes legalizados, o biênio 2025-2026 marca a era da supervisão intensiva.
Guia para fintechs: o que fazer para se adequar às novas resoluções do Banco Central? Passo a passo
Com as novas resoluções em vigor, o papel das instituições financeiras e de pagamento é reposicionado. Nesse cenário, a própria instituição se torna responsável pela legalidade, tendo a obrigação de criar critérios próprios, devidamente documentados, aprovados pela diretoria e auditáveis para a identificação de irregularidades.
Segundo a advogada especialista em Direito Empresarial, Dra. Laura Cunha, na prática, o Bacen exigirá evidências de que a política de segurança cibernética funciona. As provas devem permitir verificar quem fez o quê, quando e como: “a fintech precisa demonstrar, de forma clara e rastreável, que seus controles existem, são aplicados e são monitorados.”
Para as instituições com governança sólida, gestão de riscos estruturada e controles robustos, é o momento ideal de consolidar reputação e atrair confiança. Para as demais, é o momento de decidir: profissionalizar ou sair do jogo.
| Confira o que deve ser feito para garantir a continuidade do negócio após 1º de março:
1. Faça um Gap Analysis
Verifique com urgência o inventário de ativos, fluxos (Pix/STR/RSFN), dados sensíveis, integrações via API e mapas de terceiros. Mapeie obrigatoriamente: “o que existe?”, “o que falta?”, “quem é o responsável?” e “qual evidência será gerada?”
| Dica: para esses casos, o processo é acelerado quando o ambiente é transferido ou construído em infraestruturas já preparadas para auditorias severas, como data centers próprios com operação e estrutura certificadas, reduzindo retrabalho na etapa de evidência.
2. Isole ambientes críticos
Isolamento lógico e, quando aplicável, físico; instâncias dedicadas para ambientes críticos em nuvem, regras de firewall e monitoramento proativo de conexões com critérios reforçados para janelas noturnas e dias não úteis. Para esse caso, recomendam-se as seguintes opções:
- Colocation para separar fisicamente e manter dados em racks/cages dedicados, com controle de acesso e operação em data center Tier III. Um verdadeiro facilitador para o time de TI em cenários de urgência;
- Servidor dedicado quando a exigência pede isolamento total e previsibilidade;
- Data center virtual e arquitetura de nuvem empresarial quando o objetivo é instância “apartada” com governança de rede e políticas.
3. Transforme “logs” em trilha de auditoria fim a fim
Padronizar registros, correlacionar eventos, definir retenção por tipo de processamento e armazenar trilhas com imutabilidade e controle de acesso, visando evidência do processamento de ponta a ponta.
| Dica: Contratar uma solução de SOC como camada operacional para monitorar ativamente, correlacionar e responder a incidentes, elevando o nível de “rastreabilidade acionável”.
4. Feche o ciclo de vulnerabilidades
É importante realizar varreduras periódicas, identificação de dispositivos indevidos na rede, testes de intrusão e correção tempestiva. O pacote exige pentest com periodicidade mínima anual, com documentação e plano de ação.
O tempo de correção em ambientes controlados é menor, uma vez que conta com suporte técnico direto e documentação organizada para auditoria interna/externa.
5. Verifique controle de acesso e chaves
Execute a autenticação multifator (MFA) para acessos administrativos, revisão periódica de permissões e governança de certificados com guarda e monitoramento de uso, evitando compartilhamento de chaves privadas e validando certificados revogados.
Camadas de segurança operacionais são robustas em ambientes de data centers, como o da HostDime Brasil. Com o título de data center mais certificado da América Latina, a empresa global opera com controle, segregação e monitoramento contínuo, cenário ideal para geração de evidências para auditoria.
6. Faça testes de backup e continuidade periodicamente
É indispensável ter cópias de segurança com governança, testes de continuidade considerando indisponibilidade por incidente e planos de ação. Para manter a operação disponível mesmo em cenários inesperados, especialistas indicam soluções de:
- Cloud Backup para política de backup imutável com restauração operacional e controle. A imutabilidade permite que a operação suporte ataques de criptografia de dados (como em caso de ataques de ransomware);
- Disaster Recovery para reduzir a perda de dados e o tempo de indisponibilidade operacional. Ideal para manter a operação em cenários de crise (com desenho de RTO/RPO compatível com auditoria).
7. Inteligência cibernética
Para monitorar internet aberta, incluindo Deep Web, Dark Web e canais privados, operar com SOC/MDR é uma das saídas mais viáveis, sendo ideal para identificar vazamento de credenciais, menções e sinais de ataque antes de virar incidente.
“Investimento em governança e segurança não é custo: é proteção do negócio. A não conformidade pode comprometer a própria continuidade da operação, inclusive com a perda da autorização para funcionar. Uma penalidade extrema, mas real.”
Dra. Laura Cunha - especialista em Direito Digital e Empresarial
O fim da era do improviso
Em 2026 a governança deve ser levada a sério. O custo da conformidade subiu, criando um cenário de seleção onde empresas que não automatizarem seu compliance e não blindarem sua infraestrutura correm o risco de liquidação por incapacidade operacional.
A CMN 5.274/2025 e a BCB 538/2025 demandam mais que políticas de boas práticas. É necessário ter uma capacidade operacional boa o bastante para ser comprovada. Ou as instituições se blindam contra o crime cibernético com soluções robustas ou ficam fora do jogo a partir de 1º de março.
As normas impõem:
- Isolamento físico e lógico drástico: instâncias de computação em nuvem devem ser dedicadas e apartadas de outros sistemas da instituição. Essa medida evita que vulnerabilidades em aplicações secundárias contaminem o núcleo financeiro da empresa.
- Proteção perimetral e criptografia junto a execução de inteligência cibernética ativa: as instituições devem manter monitoramento contínuo na internet aberta, em grupos privados de comunicação e nas profundezas da Deep e Dark Web. O objetivo é antecipar ataques, identificar vazamentos de credenciais e mitigar fraudes antes que atinjam o ambiente de produção.
A adequação a essas normas exige uma infraestrutura que suporte o rigor do Banco Central. A HostDime Brasil oferece soluções de data center e cibersegurança projetadas para o isolamento lógico e a proteção de rede exigidos pelas novas resoluções.
Com instâncias dedicadas em nuvem e monitoramento de ameaças 24/7, garantimos que sua fintech cumpra o prazo de 1º de março com a resiliência necessária para o novo cenário do Sistema Financeiro Nacional.
