A segurança cibernética deixou de ser apenas uma responsabilidade técnica e passou a ocupar um papel estratégico dentro das instituições financeiras brasileiras. Essa é a principal diretriz defendida pelo Banco Central (BC), que vem promovendo uma mudança estrutural na forma como o tema é tratado no setor.

Durante o evento Febraban Sec 2026, o chefe-adjunto do Departamento de Regulação do Sistema Financeiro do BC, Antonio Marcos Guimarães, destacou que a discussão sobre cibersegurança precisa ultrapassar os limites da área de Tecnologia da Informação (TI) e se tornar um tema institucional, integrado à gestão de riscos e à governança corporativa.

A proposta é clara: segurança não pode mais ser vista como um problema técnico isolado, mas sim como um fator crítico para a continuidade e a confiança no sistema financeiro.

Essa mudança de visão está diretamente ligada às novas resoluções publicadas pelo Banco Central — como a CMN 5.274 e a BCB 538 — que atualizaram o marco regulatório anterior e trouxeram uma abordagem mais rigorosa e prescritiva.

Entre as exigências, estão a adoção de autenticação multifator, criptografia, testes de invasão, segmentação de redes e gestão adequada de certificados digitais. As instituições tiveram até março de 2026 para se adequar às novas regras.

Além disso, a Instrução Normativa nº 9 do GSI reforça essa transformação ao estabelecer que o gestor de segurança da informação deve ocupar uma posição estratégica, não podendo acumular funções com a área de TI. Essa separação busca evitar conflitos de interesse e garantir maior independência na gestão de riscos cibernéticos.

Outro ponto crítico levantado pelo Banco Central é o crescimento de riscos associados ao uso de inteligência artificial, especialmente o chamado data poisoning — técnica em que dados são manipulados para comprometer modelos de IA. Segundo o regulador, muitas instituições ainda carecem de mecanismos robustos para validar dados e interpretar resultados com o nível de criticidade necessário.

Para enfrentar esse cenário, o BC já trabalha em um projeto corporativo que reúne 16 iniciativas regulatórias focadas em cibersegurança, prevenção a fraudes e governança de IA. A ideia é tratar esses três pilares como partes de um mesmo ecossistema de resiliência digital.

O movimento ocorre em um contexto preocupante: os incidentes cibernéticos no sistema financeiro cresceram significativamente nos últimos anos, enquanto a maturidade de segurança das organizações brasileiras ainda é considerada baixa. Apesar do avanço regulatório e da posição de destaque do Brasil em rankings globais, apenas uma pequena parcela das empresas atingiu um nível considerado maduro de proteção.

Na prática, o Banco Central tenta reduzir essa lacuna entre regulação e execução, incentivando uma mudança cultural dentro das instituições. A mensagem é direta: cibersegurança não é mais responsabilidade exclusiva da TI — é uma prioridade estratégica que deve envolver toda a organização, do nível operacional à alta liderança.