Publicada em 18 de dezembro de 2025, a Resolução BCB nº 538 altera a Resolução BCB nº 85/2021 e marca um avanço relevante na regulamentação de segurança cibernética no Brasil.
A norma reflete um movimento estratégico do Banco Central do Brasil para elevar o nível de maturidade, rigor técnico e governança das instituições que integram o sistema financeiro nacional.
Mais do que atualizar diretrizes, a resolução redefine expectativas ao transformar segurança cibernética e resiliência operacional em responsabilidades centrais da gestão institucional.
O que muda com a Resolução BCB nº 538
A principal mudança introduzida pela nova resolução é a transição de um modelo baseado em diretrizes gerais para um modelo com requisitos técnicos detalhados, prescritivos e auditáveis.
A norma amplia significativamente o escopo de controles obrigatórios, exigindo que as instituições implementem políticas, procedimentos e mecanismos capazes de prevenir, detectar, registrar e responder a eventos de segurança de forma contínua.
Controles mínimos obrigatórios: mais profundidade e especificidade
O novo texto do Art. 3º, §2º estabelece um conjunto mínimo de 14 controles obrigatórios, que devem ser incorporados à política de segurança cibernética das instituições.
Entre eles, destacam-se:
Autenticação e controles de acesso
Criptografia para proteção da confidencialidade e integridade dos dados
Prevenção e detecção de intrusões
Prevenção de vazamentos de informações
Proteção contra softwares maliciosos
Mecanismos de rastreabilidade
Gestão de backups
Avaliação e correção de vulnerabilidades
Configurações seguras de ativos de tecnologia
Proteção de rede
Gestão de certificados digitais
Segurança na integração entre sistemas
Ações de inteligência no ambiente cibernético, incluindo monitoramento da internet, Deep Web e Dark Web
Esses controles devem ser aplicados inclusive no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias, reforçando que a segurança deve estar presente desde a concepção das soluções.
Rastreabilidade: exigência explícita e detalhada
A Resolução BCB nº 538 dedica atenção especial aos mecanismos de rastreabilidade, estabelecendo que eles devem abranger transações e operações de ponta a ponta.
Isso inclui, no mínimo:
Trilhas de auditoria completas do processamento de dados
Geração de logs capazes de identificar falhas ou comportamentos atípicos
Definição de tempos de retenção conforme o tipo de processamento
Retenção segura dessas informações
Na prática, a rastreabilidade deixa de ser uma boa prática e passa a ser um requisito formal de governança e auditoria.
Avaliação e correção de vulnerabilidades: do diagnóstico à ação
Outro avanço importante está no §8º do Art. 3º, que torna obrigatória não apenas a identificação, mas também a correção tempestiva das vulnerabilidades.
A norma exige:
Testes e análises periódicas em sistemas
Varreduras de rede para identificar dispositivos indevidos
Análises de recursos tecnológicos
Correção efetiva das vulnerabilidades encontradas
Com isso, o ciclo de gestão de risco passa a ser completo: identificar, analisar, corrigir e comprovar.
Controles de acesso e proteção de rede mais rigorosos
A resolução detalha de forma clara as expectativas sobre controles de acesso e proteção de rede, incluindo:
Limitação de acesso a usuários e dispositivos autorizados
Revisão periódica de permissões, especialmente de terceiros
Uso obrigatório de múltiplos fatores de autenticação para acessos externos
Segmentação de redes, protegendo ambientes de produção e processos críticos
Monitoramento reforçado de conexões externas, especialmente em horários noturnos e dias não úteis
Identificação e tratamento de eventos atípicos
Esses requisitos reforçam a necessidade de visibilidade contínua sobre o ambiente operacional.
Segurança reforçada para RSFN, PIX e STR
Com a criação do Art. 3º-A, a Resolução BCB nº 538 impõe requisitos adicionais para a comunicação de dados na Rede do Sistema Financeiro Nacional (RSFN).
Entre os principais pontos estão:
Múltiplos fatores de autenticação para acessos administrativos
Isolamento físico e lógico dos ambientes PIX e STR
Monitoramento do uso de credenciais e certificados digitais
Validação da integridade das transações antes da assinatura digital
Proibição de acesso de terceiros às chaves privadas da instituição
Essas exigências refletem a criticidade dessas infraestruturas para a estabilidade do sistema financeiro.
Testes de intrusão: institucionalizados e auditáveis
O novo Art. 22-A institucionaliza os testes de intrusão como parte obrigatória da política de segurança cibernética.
A partir da resolução, os testes devem:
Ter periodicidade mínima anual
Ser realizados com independência e imparcialidade
Ter seus resultados documentados, incluindo vulnerabilidades e planos de ação
Os testes deixam de ser pontuais e passam a ser um instrumento formal de validação da segurança.
Gestão de fornecedores e serviços relevantes
A Resolução BCB nº 538 também reforça a responsabilidade das instituições sobre seus prestadores de serviços.
O Art. 22-B classifica os serviços de comunicação eletrônica de dados na RSFN como serviços relevantes, submetendo-os às mesmas exigências aplicáveis a serviços de processamento de dados e computação em nuvem.
Isso amplia a responsabilidade sobre:
Seleção de fornecedores
Monitoramento contínuo
Gestão de riscos de terceiros
Prazos e implicações estratégicas
A resolução entrou em vigor na data de sua publicação, em 18 de dezembro de 2025, e estabelece que as instituições em funcionamento devem estar totalmente adequadas até 1º de março de 2026.
Mais do que um prazo regulatório, a norma consolida um novo paradigma:
segurança cibernética como pilar da governança, da continuidade e da resiliência institucional.
Como a Azcorp pode apoiar essa jornada
A complexidade e o nível de detalhamento da Resolução BCB nº 538 exigem mais do que ajustes pontuais.
Exigem visibilidade contínua, segurança desde o desenvolvimento e evidências claras para auditorias e decisões executivas.
Apoiamos instituições financeiras nessa jornada ao integrar:
Segurança de aplicações com Checkmarx, reduzindo riscos diretamente no desenvolvimento de software
Observabilidade, garantindo rastreabilidade de eventos, transações e comportamentos dos sistemas
Suporte à governança, auditorias e conformidade regulatória, com dados mensuráveis e confiáveis
Mais do que atender à norma, o objetivo é fortalecer a resiliência do negócio e a confiança no sistema financeiro.
Clique no botão abaixo e fale com nosso time.