A regulação mudou e o impacto é estratégico. Com a publicação das Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, o Banco Central eleva o padrão de cibersegurança no Sistema Financeiro Nacional. A partir de março de 2026, pentest deixa de ser boa prática recomendada e passa a ser obrigação formal.
Mas o ponto central não é apenas realizar um teste de intrusão. O órgão regulador está exigindo maturidade demonstrável, governança aplicada e evidência técnica auditável.
Bancos, fintechs, cooperativas e instituições de pagamento agora precisam comprovar que seus controles funcionam na prática.
O que muda na prática para sua instituição
Entre as mudanças, uma se destaca pela objetividade: a realização de pentests conduzidos por empresas especializadas passa a ser exigência legal. Os relatórios devem conter planos de ação para correção das vulnerabilidades e estar disponíveis para fiscalização.
O contexto explica o movimento, o sistema financeiro brasileiro registrou aumento expressivo de tentativas de invasão, fraudes digitais e ataques direcionados a infraestruturas críticas. A superfície de ataque cresceu na mesma velocidade da digitalização. O BCB entendeu que a maturidade de segurança precisa acompanhar essa evolução.
Documentação não é mais suficiente
As resoluções deixam claro que políticas declaradas não bastam. É necessário implementar e demonstrar controles técnicos efetivos: autenticação forte, gestão estruturada de vulnerabilidades, criptografia de dados sensíveis, proteção de perímetro e controle rigoroso de acessos privilegiados.
Outro ponto crítico é a obrigatoriedade de logs íntegros, rastreáveis e retidos por no mínimo cinco anos. Esses registros sustentam auditorias, investigações e supervisão regulatória. A incapacidade de demonstrar conformidade pode resultar em sanções e limitações operacionais.
A responsabilidade se estende aos fornecedores
A norma amplia a responsabilidade sobre serviços terceirizados. Provedores de nuvem, processamento de dados e funções críticas devem atender aos mesmos padrões exigidos das instituições contratantes.
A conformidade não termina no perímetro interno. A responsabilidade regulatória permanece com a instituição.
Pentest formal ou maturidade real?
Realizar um pentest não significa automaticamente reduzir risco. Um relatório com dezenas de vulnerabilidades não gera valor se a organização não tiver estrutura para priorizar, corrigir e validar remediações. O teste é diagnóstico, a maturidade está na capacidade de resposta.
A conformidade regulatória não pode ser tratada como evento pontual, ela exige governança contínua, integração entre segurança, desenvolvimento e operações, e acompanhamento estruturado da postura de risco.
Como estruturar governança técnica que atende o regulador
A Ivy Group S/A atua com instituições financeiras na execução de pentests baseados em metodologias reconhecidas e na estruturação de governança contínua de vulnerabilidades.
Nosso modelo combina técnica rigorosa, integração de segurança aos processos de desenvolvimento e acompanhamento estruturado. Controles baseados em OWASP ASVS, validação contínua e alinhamento com requisitos regulatórios fazem parte da operação, não apenas do discurso.
As novas resoluções deixam clara a direção do mercado: a segurança deixou de ser diferencial opcional. É requisito regulatório, operacional e estratégico.
Instituições que tratam o tema como obrigação burocrática enfrentarão pressão crescente. As que incorporam segurança à governança executiva estarão preparadas para operar com previsibilidade e resiliência.
Se sua instituição está estruturando adequação às novas exigências do Banco Central, nossa experiência no setor financeiro permite traduzir requisitos normativos em governança técnica aplicável e sustentável.
Fale com nossos especialistas.
