A transformação digital do sistema financeiro brasileiro vem impondo novos padrões de governança, segurança e responsabilidade para empresas que atuam no ecossistema tecnológico. A consolidação do Pix, o avanço do Open Finance, o crescimento das fintechs e a adoção massiva de computação em nuvem ampliaram significativamente a dependência das instituições financeiras em relação a fornecedores de tecnologia, criando um ambiente cada vez mais complexo e interconectado.
Nesse cenário, a Resolução CMN nº 5.274/2025 surge como um marco regulatório relevante ao atualizar as diretrizes de segurança cibernética aplicáveis às instituições autorizadas a funcionar pelo Banco Central do Brasil. A norma reforça o entendimento de que a segurança digital não é apenas uma exigência técnica, mas um elemento estruturante da governança corporativa e da estabilidade do sistema financeiro.
Mais do que uma atualização normativa, a resolução redefine o papel das empresas de tecnologia no ambiente regulado, ampliando responsabilidades, exigindo evidências técnicas e fortalecendo a supervisão sobre fornecedores e parceiros tecnológicos.
Um novo momento da regulação tecnológica no sistema financeiro
A Resolução CMN nº 5.274/2025 altera a Resolução CMN nº 4.893/2021 e introduz um conjunto mais robusto de controles de segurança cibernética, com foco na proteção de dados, na resiliência operacional e na continuidade dos serviços financeiros.
O texto não se limita a reafirmar princípios genéricos de segurança da informação. Ela passa a exigir, de forma expressa, que os procedimentos e controles da política de segurança cibernética abranjam, no mínimo, autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações, proteção contra softwares maliciosos, rastreabilidade, gestão de backups, avaliação e correção de vulnerabilidades, controles de acesso, perfis de configuração segura, proteção de rede, gestão de certificados digitais, requisitos de segurança para integração por interfaces eletrônicas e ações de inteligência no ambiente cibernético, inclusive com monitoramento de informações de interesse da instituição na internet, Deep Web, Dark Web e grupos privados de comunicação.
A norma também explicita que esses controles devem alcançar o desenvolvimento de sistemas seguros e a adoção de novas tecnologias empregadas nas atividades da instituição. Além disso, esclarece que, no que couber, essa verificação deve abranger sistemas adquiridos ou desenvolvidos por terceiros quando executados com recursos computacionais da própria instituição. Em outras palavras: o regulador procurou fechar espaços de fragilidade operacional que poderiam surgir da terceirização do desenvolvimento ou da integração tecnológica.
O movimento regulatório acompanha uma tendência internacional de fortalecimento da supervisão tecnológica, na qual instituições financeiras passam a ser responsáveis não apenas por seus sistemas internos, mas também pela segurança de toda a cadeia de fornecedores.
O objetivo principal é fortalecer a resiliência operacional das instituições financeiras e reduzir a vulnerabilidade a ataques cibernéticos, especialmente diante do aumento do volume transacional e da dependência de integrações tecnológicas com terceiros.
Essa evolução regulatória demonstra uma tendência clara: o sistema financeiro passa a tratar a segurança cibernética como elemento estrutural de governança e não apenas como requisito técnico.
Principais mudanças introduzidas pela Resolução CMN nº 5.274/2025
A Resolução CMN nº 5.274/2025 estabelece um conjunto mínimo de controles de segurança cibernética que devem ser obrigatoriamente implementados pelas instituições financeiras.
Entre os principais pontos da norma, destacam-se:
- autenticação e criptografia obrigatórias
- mecanismos de prevenção e detecção de intrusão
- prevenção de vazamento de informações
- proteção contra malware
- rastreabilidade de sistemas
- gestão de backups
- avaliação e correção de vulnerabilidades
- controles de acesso
- hardening de ativos de tecnologia
- proteção de redes
- gestão de certificados digitais
- segurança em APIs e integrações
- inteligência cibernética (deep web e dark web)
- testes periódicos de segurança
Esses controles passam a ser exigidos de forma verificável, com documentação e evidências que possam ser auditadas pelo Banco Central. Além disso, a norma determina que tais controles devem ser aplicados também ao desenvolvimento de sistemas e à adoção de novas tecnologias, ampliando o alcance regulatório para fornecedores e parceiros tecnológicos.
Impactos diretos para empresas de tecnologia
Embora a Resolução CMN nº 5.274/2025 seja direcionada formalmente às instituições financeiras, seus efeitos alcançam diretamente empresas de tecnologia que atuam no ecossistema financeiro, considerando que a norma amplia a responsabilidade das instituições sobre seus terceiros e fornecedores tecnológicos, especialmente em contratos de:
- cloud computing
- suporte
- desenvolvimento de software
- SaaS
- processamento de dados
- APIs e integrações
- infraestrutura digital
- cibersegurança
- inteligência artificial
Na prática, empresas de tecnologia passam a ser parte integrante do ambiente regulado, ainda que não sejam diretamente supervisionadas pelo Banco Central.
- Isso significa que fornecedores precisarão demonstrar:
- maturidade em segurança da informação
- compliance regulatório
- governança de dados
- controles técnicos auditáveis
- processos de gestão de risco
- capacidade de resposta a incidentes
A contratação de serviços tecnológicos passa a exigir cláusulas contratuais mais robustas, auditorias técnicas e mecanismos de supervisão contínua.
Em outras palavras, a leitura mais útil da norma não é “a CVM endureceu a regra para instituições financeiras”. Isso é verdade, mas é pouco. O que realmente interessa para o mercado é o efeito indireto dessa mudança: Os clientes regulados passam a ter mais obrigação de demonstrar controle, rastreabilidade, prevenção, resposta e governança. E, quando esse regulado precisa provar que controla melhor seu ambiente, ele naturalmente passa a exigir mais de quem sustenta esse ambiente junto com ele.
Sob uma ótica mais detalhada, a Resolução CMN nº 5.274/2025 tende a impactar diretamente a estrutura dos contratos firmados entre instituições financeiras e empresas de tecnologia, tornando-os substancialmente mais rigorosos e detalhados sob a perspectiva de segurança cibernética, governança e responsabilidade operacional.
Na prática, observa-se uma tendência de endurecimento das cláusulas contratuais, com a previsão de níveis de serviço (SLA) mais exigentes, auditorias técnicas recorrentes, mecanismos de monitoramento contínuo, penalidades mais severas em caso de falhas operacionais e ampliação da responsabilidade dos fornecedores por incidentes de segurança e interrupções de serviços.
Além disso, a exigência de certificações técnicas, comprovação de controles de segurança e evidências periódicas de conformidade regulatória passa a integrar o padrão contratual do setor financeiro, elevando o grau de exposição jurídica das empresas de tecnologia e exigindo uma atuação preventiva na revisão e negociação dos instrumentos contratuais, de modo a garantir equilíbrio de responsabilidades e mitigação de riscos.
Nesse cenário atual, será cada vez mais necessário demonstrar segurança de forma contratual, documental e verificável. E isso costuma recair, direta ou indiretamente, sobre fornecedores de tecnologia que participam da operação do cliente regulado. Essa conclusão decorre da combinação entre o reforço da política de segurança cibernética e o regime já existente da Resolução nº 4.893/2021 para contratação de processamento, armazenamento de dados e computação em nuvem.
Relação com a LGPD e a governança de dados
A aproximação entre segurança cibernética, governança e proteção de dados também se torna mais evidente. Embora a Resolução CMN nº 5.274/2025 não substitua a LGPD nem reorganize o regime jurídico de tratamento de dados pessoais, ela reforça, no ambiente financeiro regulado, a centralidade de controles como criptografia, rastreabilidade, controle de acesso, gestão de vulnerabilidades, retenção segura de registros e resposta estruturada a incidentes. Para empresas que operam nesse ecossistema, o tema deixa de poder ser tratado em silos: segurança da informação, contratos, privacidade, continuidade operacional e gestão de terceiros precisam conversar entre si.
Tendências regulatórias para os próximos anos
A Resolução CMN nº 5.274/2025 não é um movimento isolado. Ela sinaliza uma tendência clara de fortalecimento da regulação tecnológica no Brasil.
Entre as principais tendências estão:
aumento da supervisão sobre fornecedores
regulação de inteligência artificial
controle mais rigoroso sobre cloud computing
integração entre Banco Central e ANPD
fortalecimento da governança de dados
exigência de evidências técnicas de compliance
O modelo regulatório brasileiro caminha para um ambiente mais técnico, baseado em evidências e alinhado às melhores práticas internacionais.
Conclusão
Em resumo, a Resolução CMN nº 5.274/2025 representa um avanço significativo na regulação da segurança cibernética no sistema financeiro brasileiro e estabelece um novo padrão de governança tecnológica.
Mais do que uma obrigação regulatória, a norma redefine a relação entre instituições financeiras e empresas de tecnologia, impondo um modelo baseado em responsabilidade compartilhada, evidências técnicas e controles verificáveis.
Empresas que atuam no ecossistema financeiro devem compreender que a conformidade com a norma não é apenas uma exigência jurídica, mas um fator estratégico de competitividade e sustentabilidade no mercado.
A nova regulação de segurança cibernética do sistema financeiro não transformou toda empresa de tecnologia em regulada pelo Banco Central. Mas ela mudou, sim, a régua do mercado para quem vende tecnologia ao setor financeiro. E, em mercados mais exigentes, a diferença entre ganhar ou perder um contrato raramente está só no produto. Muitas vezes, ela está na maturidade contratual, na capacidade de responder à diligência do cliente e na clareza com que a empresa sustenta juridicamente aquilo que promete comercialmente.
A tendência é que o Banco Central continue fortalecendo a supervisão tecnológica, ampliando exigências e integrando temas como proteção de dados, inteligência artificial e segurança cibernética.
Vale considerar que há um dado temporal que não pode ser ignorado: para as instituições já em funcionamento na data de entrada em vigor da resolução, a adaptação deveria ser promovida até 1º de março de 2026. Isso significa que o mercado já entrou em fase de implementação, revisão de controles, reavaliação de fornecedores e potencial rediscussão contratual. Quem fornece tecnologia para esse setor não está diante de um debate futuro; está diante de uma demanda presente.
A Resolução CMN nº 5.274/2025 não deve ser vista apenas como uma obrigação, mas como um instrumento de maturidade institucional e de fortalecimento da confiança no ambiente digital brasileiro.
Nesse cenário, a melhor decisão empresarial é acelerar a adequação regulatória, revisar contratos, fortalecer a governança de segurança e estruturar programas de compliance tecnológico robustos.
Se sua empresa atua no setor financeiro ou tecnológico e precisa avaliar os impactos da Resolução CMN nº 5.274/2025, nossa equipe está preparada para apoiar na adequação regulatória e na revisão de contratos estratégicos.
Como o Assis e Mendes pode apoiar
A evolução das exigências de segurança cibernética no sistema financeiro demanda uma análise jurídica que considere, além da regulação aplicável, os impactos práticos sobre contratos, governança e relações com fornecedores de tecnologia.
O Assis e Mendes assessora instituições financeiras, fintechs e empresas de tecnologia na avaliação dos impactos da Resolução CMN nº 5.274/2025, com foco na adequação regulatória, na revisão de contratos estratégicos e na estruturação de medidas de compliance e governança de dados.
Entre as frentes mais recorrentes de atuação estão a revisão de contratos com fornecedores de cloud computing, SaaS, APIs, suporte e desenvolvimento de software, a análise de cláusulas de responsabilidade, SLA e auditoria, além do suporte na estruturação de políticas internas relacionadas à segurança da informação e à mitigação de riscos regulatórios.
Esse acompanhamento busca oferecer maior segurança jurídica às operações, fortalecer a relação com clientes regulados e apoiar empresas na construção de um posicionamento mais sólido diante das novas exigências do mercado.
📲 Fale com nossa equipe:
👉 Clique aqui para iniciar a conversa no WhatsApp
Sobre o autor
Fernanda Soares é advogada no Assis e Mendes Advogados, especialista em Compliance, Proteção de Dados e LGPD. Atua como DPO e Controller Jurídica, apoiando empresas na implementação de programas de governança, proteção de dados e conformidade regulatória.