O Banco Central decidiu elevar o patamar de segurança cibernética do sistema financeiro brasileiro. Em resposta a uma sequência de ataques hackers que exploraram vulnerabilidades em instituições participantes do Pix, o BC e o Conselho Monetário Nacional (CMN) aprovaram um pacote de regras mais rigorosas para bancos e fintechs, com foco em prevenção, rastreabilidade e testes contínuos de invasão.
A decisão ocorre após investigações apontarem que criminosos conseguiram desviar mais de R$ 1,5 bilhão por meio de falhas nos sistemas de empresas que operam ou prestam serviços tecnológicos ao ecossistema do Pix. Parte dos valores foi bloqueada, mas o episódio acendeu um alerta sobre os riscos de uma infraestrutura cada vez mais digital, interconectada e dependente de terceiros.
Mais do que reagir a um episódio pontual, o movimento sinaliza uma mudança de postura regulatória: o Banco Central passa a tratar segurança cibernética como um tema estrutural, e não apenas operacional.
Novas regras do BC
As novas regras tornam obrigatória a realização anual de testes de invasão, os chamados penetration tests, conduzidos por profissionais independentes. Os relatórios deverão ser enviados ao Banco Central, ampliando a supervisão direta sobre a resiliência dos sistemas das instituições.
Além disso, o BC passou a exigir requisitos mínimos adicionais de segurança, como gestão rigorosa de certificados digitais, integração segura entre sistemas, ações permanentes de inteligência cibernética, rastreabilidade de operações e controles mais estritos de acesso. O objetivo é reduzir pontos cegos que permitam ataques em cadeia, especialmente em ambientes críticos como Pix e Sistema de Transferência de Reservas (STR).
Notícias Relacionadas
Outro eixo relevante da nova regulamentação está na relação com fornecedores de tecnologia. Serviços de processamento, armazenamento de dados e computação em nuvem passam a ser classificados como “serviços relevantes”, o que submete sua contratação a padrões mais elevados de gestão de riscos, auditoria e supervisão pelo Banco Central.
Na prática, o BC reconhece que parte significativa da superfície de ataque do sistema financeiro não está apenas nos bancos e fintechs, mas também nos provedores que conectam instituições menores à infraestrutura central do Pix.
Um recado ao mercado
O aperto regulatório deixa um recado claro: a escalabilidade e o sucesso do Pix exigem um salto equivalente em maturidade operacional e cibernética. À medida que o sistema se consolida como espinha dorsal dos pagamentos no país, falhas de segurança deixam de ser incidentes isolados e passam a representar risco sistêmico.
Para o mercado, a mensagem é dupla. De um lado, aumenta o custo de conformidade, especialmente para fintechs menores e provedores de tecnologia. De outro, cresce a pressão por investimentos em governança, testes contínuos e arquitetura segura, não como diferencial competitivo, mas como pré-requisito para operar.
O Pix segue avançando, mas agora sob um princípio cada vez mais claro: inovação sem segurança não é mais aceitável.
Editor-chefe
Formado em jornalismo pela Universidade Federal da Bahia, também realizou o curso de Jornalismo Econômico do Estadão. Foi editor do BP Money e repórter do Bahia Notícias.
