Sumário Executivo

O Conselho Monetário Nacional (CMN) publicou a Resolução CMN nº 5.280, datada de 26 de fevereiro de 2026, estabelecendo um marco regulatório decisivo para a criptoeconomia nacional. A norma determina que, para os fins da Lei Complementar nº 105, de 10 de janeiro de 2001, as sociedades prestadoras de serviços de ativos virtuais (VASPs) passam a ser legalmente consideradas instituições financeiras.

Esta medida visa equalizar a assimetria regulatória entre o sistema bancário tradicional e o ecossistema de ativos digitais no que tange à proteção de dados financeiros e o dever de sigilo. Na prática, isso impõe às exchanges e carteiras digitais o dever legal de manter sob sigilo as operações ativas e passivas e os serviços prestados aos seus clientes, salvo em exceções legais estritas (como ordens judiciais ou comunicações ao COAF e Receita Federal).

Para a alta gestão, a norma sinaliza o amadurecimento institucional do setor, exigindo governança robusta de dados. A violação do dever de sigilo agora carrega implicações criminais e administrativas severas, exigindo uma revisão imediata dos processos de segurança da informação e atendimento a terceiros.

Impacto Sistêmico

MÉDIO

Embora não altere a estrutura transacional (mensageria de pagamentos), exige reconfiguração crítica de Controles de Acesso (ACL), sistemas de Data Loss Prevention (DLP) e governança de dados para garantir conformidade com a LC 105 em ambientes que antes operavam sob regras menos rígidas.

Base Normativa

Norma: Resolução CMN nº 5.280, de 26 de fevereiro de 2026.

Alterações: Amplia o escopo de aplicação da Lei Complementar nº 105/2001, utilizando a prerrogativa do Art. 1º, § 1º, inciso XIII desta lei.

Motivação: Garantir a integridade do Sistema Financeiro Nacional (SFN) e a segurança jurídica nas operações com ativos virtuais, alinhando as obrigações de privacidade e sigilo das VASPs às das instituições bancárias tradicionais.

Acessar Regulamentação Original

BC - Resolução CMN N° 5.280 de 26/02/2026

Adequação

O prazo é extremamente exíguo e mandatório:

  • Publicação: 26/02/2026.
  • Vigência (Compliance Total): 01/03/2026.

    • As instituições têm, na prática, menos de 3 dias úteis para garantir que seus processos operacionais estejam blindados pela lei do sigilo.

    Impacto Operacional

    A norma gera custos imediatos de Consultoria Jurídica e Treinamento. Processos que devem ser revisados:

    1. Atendimento a Ofícios: Criação de esteira qualificada para validar se solicitações de quebra de sigilo possuem mandado judicial adequado;

    2. RH e Compliance: Treinamento de colaboradores sobre as implicações criminais da quebra de sigilo bancário;

    3. Contratos: Revisão de cláusulas de confidencialidade com fornecedores de tecnologia que processam dados de ativos virtuais.

    Alterações de Layout

    A norma não especifica alterações imediatas em layouts de CADOCs ou dicionários de dados do BCB. No entanto, as equipes de TI e Segurança da Informação devem:

    1. Revisar as tags de classificação de dados nos bancos de dados internos para incluir 'Protegido por Sigilo Bancário' em operações de cripto;

    2. Atualizar APIs de integração com parceiros para garantir que nenhum dado seja exposto sem o devido consentimento ou amparo legal;

    3. Monitorar futuras instruções normativas do BCB que poderão exigir o reporte específico dessas operações via CCS (Cadastro de Clientes do SFN) ou similar.