Resolução BCB nº 538

Sumário Executivo

A Resolução BCB nº 538/2025 representa um endurecimento significativo na postura do Regulador frente aos riscos cibernéticos, especificamente para Instituições de Pagamento (IPs), Corretoras (CTVMs/DTVMs) e Corretoras de Câmbio. O Banco Central deixa de exigir apenas a existência de uma política de segurança para ditar como essa segurança deve ser operacionada tecnicamente. A norma transforma diretrizes genéricas em requisitos prescritivos de "hardening" (fortalecimento) de infraestrutura.

O texto detalha obrigatoriedades que antes eram consideradas "boas práticas", como a implementação de múltiplos fatores de autenticação (MFA) para acesso administrativo, segmentação agressiva de redes e, ineditamente para este segmento, a exigência de ações de inteligência cibernética (monitoramento de ameaças na internet aberta e no submundo digital). Além disso, há um foco crítico na rastreabilidade, exigindo logs detalhados que permitam auditoria forense fim a fim.

Para a alta gestão, a mensagem é clara: a segurança cibernética deixou de ser apenas um suporte de TI para se tornar um pilar de solvência e continuidade de negócios fiscalizado com rigor. A norma exige investimentos em ferramentas de monitoramento contínuo e possíveis rearquiteturas de sistemas, especialmente para quem opera no ecossistema Pix e na Rede do Sistema Financeiro Nacional (RSFN).

Base Normativa

• Norma: Resolução BCB nº 538, de 18 de dezembro de 2025.
• Altera: Resolução BCB nº 85, de 8 de abril de 2021.
• Motivação Regulatória:

O cenário macroprudencial indica um aumento na sofisticação de ataques cibernéticos (ransomware, vazamento de dados) e fraudes no ecossistema de pagamentos instantâneos. O BCB busca equiparar a robustez de segurança das IPs e Corretoras à dos grandes bancos, mitigando o risco de contágio no Sistema Financeiro Nacional (SFN) através de participantes menores que poderiam servir como porta de entrada para atacantes.

Acessar Regulamentação Original

Resolução BCB nº 538

Adequação

Nota: O texto fornecido é um fragmento e não contém a cláusula de vigência final. Contudo, baseando-se na data de publicação (Dezembro/2025) e na complexidade, o padrão do BCB costuma ser:

• Publicação: 18/12/2025.
• Entrada em Vigor: Geralmente imediata ou no mês subsequente para controles administrativos.
• Prazos de Adaptação (Estimado): Itens complexos como o "isolamento físico/lógico do Pix" costumam ter um prazo de adequação (frequentemente entre 90 a 180 dias), mas atenção: a norma exige ação imediata para revisão da Política de Segurança Cibernética.
• Ação Recomendada: Tratar como prioridade Q1/2026. Auditores exigirão o plano de ação aprovado pela Diretoria logo nas primeiras semanas de vigência.

Impacto Operacional

A implementação desta resolução gera trabalho multidisciplinar e custos diretos:

• TI e Infraestrutura (Custo Elevado):
• Necessidade de reconfigurar a topologia de rede para isolar o ambiente Pix.
• Aquisição ou contratação de serviços de Threat Intelligence (monitoramento de Dark Web).
• Implementação de MFA (Múltiplo Fator de Autenticação) para acessos externos e administrativos, caso ainda não exista.
• Segurança da Informação (Processos):
• Estabelecimento de rotinas de varredura de vulnerabilidades e testes de intrusão (Pentests) recorrentes.
• Gestão do ciclo de vida de ativos (patch management) mais rigorosa.
• Compliance e Jurídico:
• Revisão completa da Política de Segurança Cibernética.
• Atualização de contratos com terceiros (fornecedores de software/nuvem) para garantir que eles cumpram os requisitos de segurança no desenvolvimento (Secure by Design).
• RH e Gestão de Pessoas:
• Revisão periódica de acessos, com foco especial em revogar acessos de terceirizados inativos e limitar privilégios administrativos.

Alterações de Layout

Não foram identificadas alterações diretas de layout XML/CADOC para este normativo.