← Voltar ao Blog
Regulacao 2026-07-16

Ataques ao Sistema Financeiro e as Novas Resolucoes do Bacen: O Que Muda em 2026

Os maiores ataques ciberneticos ao sistema financeiro brasileiro, as novas resolucoes do Banco Central (BCB 498 e CMN 5.274) e por que o treinamento das equipes virou exigencia estrategica.

C
Cybersec Academy
6 min

O sistema financeiro brasileiro viveu, entre 2025 e 2026, o periodo mais turbulento da sua historia em seguranca cibernetica. Ataques a provedores de tecnologia desviaram centenas de milhoes de reais, o Banco Central respondeu com um pacote regulatorio duro e as instituicoes agora correm contra prazos de adequacao. Neste artigo, explicamos o que aconteceu, o que as novas resolucoes exigem e onde o fator humano entra nessa equacao.

O Ataque que Mudou Tudo

Em julho de 2025, um ataque ao provedor de tecnologia C&M Software -- empresa que conecta bancos menores e fintechs a infraestrutura do Banco Central -- resultou no desvio de centenas de milhoes de reais de contas reserva de instituicoes financeiras. Foi o maior incidente cibernetico da historia do sistema financeiro nacional.

O detalhe mais importante: o ataque nao comecou com uma vulnerabilidade tecnica sofisticada. Comecou com credenciais vendidas por um funcionario do proprio provedor. Nenhum firewall, WAF ou SIEM impede um insider de entregar a chave da porta.

O caso escancarou dois pontos cegos do ecossistema:

  1. A cadeia de suprimentos tecnologica -- instituicoes autorizadas e fiscalizadas dependiam de provedores (PSTIs) que operavam praticamente sem regulacao.
  2. O fator humano -- engenharia social, suborno de colaboradores e phishing continuam sendo o vetor inicial da maioria dos grandes incidentes.

A Resposta do Banco Central

O Bacen reagiu em duas ondas regulatorias.

Resolucao BCB nº 498/2025 -- A Regulacao dos PSTIs

Publicada em setembro de 2025, a resolucao colocou os Provedores de Servicos de Tecnologia da Informacao (PSTIs) sob supervisao direta do Banco Central. Entre as principais exigencias:

  • Credenciamento obrigatorio junto ao BC e capital minimo de R$ 15 milhoes;
  • Governanca robusta, com diretores estatutarios dedicados a seguranca da informacao, riscos, compliance e gestao de crises;
  • Isolamento fisico ou logico dos ambientes que operam Pix e STR;
  • Monitoramento de incidentes 24/7, trilhas de auditoria ponta a ponta, criptografia e rastreabilidade completa das transacoes;
  • Limite de R$ 15 mil por transacao Pix para instituicoes nao autorizadas que se conectam a RSFN via PSTI.

Os prazos foram agressivos: os requisitos prioritarios de seguranca (MFA, gestao de certificados digitais, inteligencia de ameacas) tinham de ser implementados em ate 15 dias, e o restante da politica de seguranca (segregacao de ambientes, pentests, monitoramento 24/7) em ate 30 dias.

Resolucao CMN nº 5.274/2025 -- Atualizacao da Politica de Seguranca Cibernetica

Em dezembro de 2025, o Conselho Monetario Nacional alterou a Resolucao CMN nº 4.893/2021 -- a norma-base de seguranca cibernetica das instituicoes financeiras -- endurecendo os requisitos para contratacao de servicos de processamento de dados e computacao em nuvem, incluindo exigencias especificas para ambientes Pix e STR em nuvem.

O prazo de adequacao terminou em 1º de marco de 2026. Instituicoes que ainda nao se adaptaram estao operando em nao conformidade e sujeitas a sancoes.

O Que Isso Significa na Pratica

Se voce atua em uma instituicao financeira, fintech, instituicao de pagamento ou presta servicos de tecnologia para esse mercado, o recado do regulador e claro:

  • Seguranca cibernetica deixou de ser assunto de TI e virou responsabilidade estatutaria, com diretores nomeados e responsabilizaveis;
  • A cadeia de terceiros e sua responsabilidade -- contratar um provedor nao transfere o risco regulatorio;
  • Resposta a incidentes precisa ser testada, nao apenas documentada;
  • Evidencias importam: politicas, trilhas de auditoria, relatorios de pentest e registros de treinamento serao cobrados em supervisao.

O Elo Mais Fraco Continua Sendo Humano

Repare no padrao: o maior ataque da historia do SFN comecou com uma credencial vendida. Golpes contra clientes de bancos exploram engenharia social. Fraudes internas exploram excesso de privilegios e falta de cultura de seguranca.

Nenhuma das novas resolucoes se resolve apenas com ferramenta. Elas exigem pessoas capacitadas para:

  • Desenhar e operar controles de seguranca alinhados a regulacao;
  • Conduzir gestao de riscos e compliance de forma continua;
  • Responder a incidentes com processo, e nao improviso;
  • Reconhecer e reportar tentativas de engenharia social e phishing.

Como a Cybersec Academy Pode Ajudar

A Cybersec Academy atua exatamente nessa intersecao entre regulacao, tecnologia e pessoas:

  • Treinamento in-company -- programas sob medida para instituicoes financeiras e provedores de tecnologia, cobrindo desde conscientizacao de todos os colaboradores ate capacitacao tecnica dos times de seguranca;
  • Formacao de Analistas de Seguranca -- para estruturar ou reforcar o time interno de SOC e resposta a incidentes exigido pelo monitoramento 24/7;
  • GRC e Compliance -- capacitacao em governanca, gestao de riscos e adequacao regulatoria, incluindo o arcabouco do Bacen (CMN 4.893, BCB 85, BCB 498 e CMN 5.274);
  • Simulacoes de phishing e engenharia social -- porque conscientizacao sem teste pratico e so um slide bonito;
  • Palestras executivas -- para que diretoria e conselho entendam a responsabilidade que as novas normas colocam sobre eles.

A pergunta que fica para 2026 nao e "se" sua instituicao sera testada -- e "quando". A diferenca entre um incidente contido e uma manchete de jornal esta na preparacao do seu time.

Quer adequar sua equipe as novas exigencias do Bacen? Fale com a gente ou conheca nossos treinamentos in-company.