Nos \u00faltimos anos, a seguran\u00e7a cibern\u00e9tica virou um tema recorrente nos conselhos, nos comit\u00eas de risco e nas conversas estrat\u00e9gicas da alta lideran\u00e7a. Em geral, acompanhado de pol\u00edticas bem estruturadas, frameworks reconhecidos e contratos com fornecedores especializados.<\/p>\n
A Resolu\u00e7\u00e3o CMN n\u00ba 5.274\/2025 muda esse cen\u00e1rio de forma silenciosa \u2014 e profunda. Ao estabelecer um prazo claro para adequa\u00e7\u00e3o (at\u00e9 mar\u00e7o deste ano), o Banco Central sinaliza que a seguran\u00e7a deixou de ser um compromisso formal e passou a ser uma capacidade que precisa existir, funcionar e responder continuamente.<\/p>\n
Com a data limite se aproximando, a pergunta deixa de ser \u201ctemos uma pol\u00edtica?\u201d e passa a ser outra, bem mais inc\u00f4moda: estamos realmente preparados para lidar com um incidente relevante quando \u2014 n\u00e3o se \u2014 ele acontecer?<\/p>\n
Essa inquieta\u00e7\u00e3o n\u00e3o surge por acaso. Estudos globais mostram que o setor financeiro est\u00e1 entre os mais visados por ataques cibern\u00e9ticos e tamb\u00e9m entre os que registram os maiores impactos financeiros quando um incidente ocorre. De acordo com o Cost of a Data Breach Report<\/em>, da IBM, institui\u00e7\u00f5es financeiras levam, em m\u00e9dia, mais de cinco meses para identificar um ataque e ainda precisam de semanas adicionais para cont\u00ea-lo. Em um ambiente altamente regulado, esse tempo faz toda a diferen\u00e7a.<\/p>\n \u00c9 exatamente esse intervalo \u2014 entre o in\u00edcio do incidente e sua descoberta \u2014 que o regulador passa a n\u00e3o aceitar mais.<\/p>\n O que a nova resolu\u00e7\u00e3o traz n\u00e3o \u00e9 apenas um refor\u00e7o t\u00e9cnico. Ela traduz uma mudan\u00e7a clara de expectativa. O foco sai do papel e vai para a opera\u00e7\u00e3o. Sai do planejamento e entra na execu\u00e7\u00e3o. Sai do eventual e passa a exigir const\u00e2ncia.<\/p>\n Em um sistema financeiro cada vez mais digital, integrado e exposto, incidentes deixaram de ser exce\u00e7\u00e3o. S\u00e3o eventos esperados. E a maturidade de uma institui\u00e7\u00e3o passa a ser medida n\u00e3o pela aus\u00eancia de problemas, mas pela capacidade de detect\u00e1-los rapidamente, responder de forma coordenada e aprender com eles.<\/p>\n No Brasil, esse risco j\u00e1 \u00e9 concreto. Dados divulgados pelo pr\u00f3prio Banco Central indicam dezenas de incidentes de ciberseguran\u00e7a registrados no sistema financeiro nos \u00faltimos dois anos. N\u00e3o se trata mais de uma hip\u00f3tese futura, mas de uma realidade presente, com impacto operacional, regulat\u00f3rio e reputacional.<\/p>\n Esse ponto se torna ainda mais sens\u00edvel em ambientes cr\u00edticos como Pix, STR, integra\u00e7\u00f5es via APIs e opera\u00e7\u00f5es em nuvem. Falhas nesses contextos n\u00e3o s\u00e3o apenas t\u00e9cnicas. Elas afetam clientes, parceiros e a confian\u00e7a no sistema como um todo \u2014 e inevitavelmente atraem a aten\u00e7\u00e3o do regulador.<\/p>\n A CMN 5.274 tamb\u00e9m refor\u00e7a um aspecto que ainda gera desconforto em muitas organiza\u00e7\u00f5es: a terceiriza\u00e7\u00e3o n\u00e3o transfere responsabilidade. Mesmo quando a infraestrutura ou o processamento est\u00e3o fora de casa, a obriga\u00e7\u00e3o de garantir seguran\u00e7a, monitoramento e resposta continua sendo da institui\u00e7\u00e3o regulada.<\/p>\n Na pr\u00e1tica, isso exige uma mudan\u00e7a de postura. Seguran\u00e7a deixa de ser um tema restrito \u00e0 \u00e1rea t\u00e9cnica e passa a ser um assunto de lideran\u00e7a. De governan\u00e7a. De decis\u00e3o executiva.<\/p>\n Institui\u00e7\u00f5es que ainda tratam seguran\u00e7a cibern\u00e9tica como um conjunto de controles est\u00e1ticos tendem a descobrir incidentes tarde demais, responder de forma fragmentada e ter dificuldade em demonstrar dilig\u00eancia quando mais precisam. J\u00e1 aquelas que encaram seguran\u00e7a como parte viva da opera\u00e7\u00e3o ganham previsibilidade, controle e confian\u00e7a \u2014 interna e externamente.<\/p>\n O prazo imposto pelo Banco Central n\u00e3o deveria ser visto apenas como mais uma obriga\u00e7\u00e3o regulat\u00f3ria. Ele \u00e9 um alerta claro de que o n\u00edvel de exig\u00eancia mudou.<\/p>\n Faltando menos de 30 dias, a pergunta que realmente importa n\u00e3o \u00e9 se a norma foi lida ou se a pol\u00edtica foi atualizada. \u00c9 se a organiza\u00e7\u00e3o consegue, hoje, sustentar na pr\u00e1tica aquilo que sempre afirmou no discurso.<\/p>\n E essa resposta n\u00e3o est\u00e1 nos documentos.
\nEla aparece, todos os dias, na forma como a institui\u00e7\u00e3o opera.<\/p>\n