Conformidade BACEN: Resoluções 4.893 e 5.274 de Segurança Cibernética para Instituições Financeiras
Resposta direta
As Resoluções BCB 4.893/2021 e 5.274/2024 exigem que todas as instituições financeiras autorizadas pelo Banco Central mantenham política de segurança cibernética documentada, plano de resposta a incidentes, testes de penetração periódicos e gestão de fornecedores de TI. Fintechs S4-S5 devem estar 100% conformes a partir de 01/03/2026. Multas chegam a R$ 2 bilhões por infração.
Principais pontos da regulação
- ›Res. 4.893/2021 obriga PSC, PRIC, pentest, gestão de terceiros e relatório anual para toda IF autorizada pelo BACEN
- ›Res. 5.274/2024 amplia os requisitos para Open Finance, PIX, Drex e novos arranjos de pagamento
- ›Prazos escalonados por segmento: S1-S2 (conformes desde 2022) → S4-S5 e IPs menores (prazo 01/03/2026)
- ›Pentest anual é prática exigida para S1-S2 e recomendada para todos; evidências devem ser mantidas para supervisão
- ›Notificação ao BACEN em até 3 dias úteis após incidentes relevantes; notificação à ANPD em até 72h se houver dados pessoais
- ›Multas chegam a R$ 2 bilhões por infração sob a Lei 13.506/2017; risco de cassação da autorização e inabilitação de administradores
O que são as Resoluções BCB 4.893 e 5.274
A Resolução BCB nº 4.893, de 26 de fevereiro de 2021, substituiu a Resolução CMN 4.658/2018 e estabeleceu o marco regulatório atual de segurança cibernética para instituições financeiras no Brasil. Ela define requisitos obrigatórios de governança, controles técnicos e processos operacionais que toda IF autorizada a funcionar pelo Banco Central deve implementar — independentemente do porte, desde que classificada nos segmentos S1 a S5 ou como instituição de pagamento (IP) sob a Resolução BCB 80/2021.
O escopo da 4.893 abrange: bancos múltiplos, bancos comerciais, bancos de investimento, cooperativas de crédito, sociedades de crédito direto (SCD), sociedades de empréstimo entre pessoas (SEP), fintechs de pagamento (IP), corretoras, distribuidoras e demais entidades supervisionadas pelo BACEN. O texto impõe obrigações proporcionais ao porte e à complexidade — medidos pela classificação de segmento —, mas nenhuma IF está isenta.
A Resolução BCB nº 5.274, de 2024, atualizou e ampliou o texto da 4.893 para incorporar os riscos emergentes do ecossistema digital financeiro: Open Finance (compartilhamento de dados via APIs abertas), PIX (em expansão contínua de casos de uso), Drex (real digital) e novos arranjos de pagamento. A 5.274 fortaleceu especialmente os requisitos de controle de acesso, autenticação robusta para APIs, integridade de dados transacionais e resposta a incidentes em infraestruturas distribuídas. Também endureceu as exigências de CSIRT — as IFs de maior porte devem manter equipe interna ou acesso permanente a equipe especializada 24x7.
Quem precisa se adequar e quais os prazos
O BACEN classifica as IFs em cinco segmentos com base no porte (Índice de Porte — IP) e na atividade internacional. Os segmentos S1 e S2, que concentram os maiores bancos e aquelas com atividade internacional significativa, já deveriam estar 100% conformes com a Res. 4.893 desde agosto de 2022. O segmento S3 teve prazo progressivo até 2023. Para S4, S5 e as IPs de menor porte, o cronograma foi escalonado com adequação completa exigida a partir de 01 de março de 2026 para as exigências mais avançadas da Res. 5.274.
No ecossistema de fintechs, os principais subtipos regulados são: Sociedade de Crédito Direto (SCD), Sociedade de Empréstimo entre Pessoas (SEP), Instituição de Pagamento (IP) nas modalidades emissor de moeda eletrônica, emissor de instrumento de pagamento pós-pago e iniciador de transação de pagamento (ITP). Todas estão sob o guarda-chuva da Res. 4.893, com requisitos proporcionais ao modelo de negócio. Uma SCD que opera crédito digital tem obrigações distintas de uma IP que emite cartão pré-pago, mas ambas precisam de PSC, PRIC e controles de acesso.
Cooperativas de crédito singulares, centrais e confederações também estão no escopo, com regras específicas que levam em conta a natureza cooperativista. A supervisão por delegação (cooperativas afiliadas ao SICOOB, SICREDI e Unicred) não elimina a obrigação de conformidade individual — cada entidade é responsável por sua própria PSC e PRIC, ainda que possa se apoiar na estrutura da confederação para alguns controles centralizados.
Sua fintech está em conformidade com a Res. 4.893 e 5.274? Diagnóstico gratuito — sem compromisso.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Os 8 requisitos centrais que o BACEN exige
A Res. 4.893 estrutura as obrigações em torno de oito pilares que cobrem desde governança estratégica até controles operacionais e relação com fornecedores. Entender cada um é essencial para elaborar um programa de conformidade robusto que sobreviva a uma inspeção do BACEN.
1. Política de Segurança Cibernética (PSC) — art. 4º e 5º: Documento formal aprovado pela diretoria que define objetivos de segurança, responsabilidades, controles implementados, procedimentos para classificação de dados e mecanismos de revisão periódica. A PSC deve cobrir tanto ambientes internos quanto serviços contratados de terceiros e processar em nuvem.
2. Plano de Resposta a Incidentes Cibernéticos (PRIC) — art. 6º: Procedimento documentado com playbooks para cada tipo de incidente relevante (ransomware, fraude, vazamento, interrupção de serviço). Deve incluir critérios para determinar quando o incidente é "relevante" e aciona a notificação ao BACEN (prazo de 3 dias úteis) e à ANPD (prazo de 72 horas). Deve ser testado periodicamente com exercícios de mesa (tabletop exercises) e simulações técnicas.
3. Testes de penetração periódicos — art. 9º: A regulação exige testes de intrusão e varreduras de vulnerabilidade realizados por equipe capacitada. O mercado e os supervisores do BACEN consolidaram a expectativa de pentest anual para S1-S2 e bianual para demais segmentos, com relatório técnico e evidências mantidas. Testes internos não substituem avaliações independentes — a imparcialidade é fator avaliado em inspeções.
4. Gestão de risco de fornecedores (third-party risk) — arts. 16-23: A IF deve aplicar due diligence de segurança em todos os fornecedores de tecnologia, incluindo processadores de dados em nuvem. Isso inclui questionários de avaliação, cláusulas contratuais de segurança, SLAs de resposta a incidentes e direito de auditoria. O BACEN pode exigir que a IF demonstre os controles aplicados à cadeia de fornecimento em uma inspeção.
5. Continuidade de negócios para segurança cibernética — art. 7º: O plano de continuidade deve incorporar cenários de incidente cibernético, com RTO (Recovery Time Objective) e RPO (Recovery Point Objective) definidos por sistema. Isso inclui procedimentos de recuperação em caso de ransomware, destruição de backups e comprometimento de identidades privilegiadas.
6. Registros e logs de ocorrências — art. 10º: A IF deve manter registro sistemático de incidentes cibernéticos, incluindo aqueles que não atingiram o limiar de notificação ao BACEN. Os registros servem de base para o relatório anual e podem ser requisitados em inspeções. O período de retenção recomendado é de 5 anos, alinhado ao prazo prescricional e às exigências da LGPD.
7. Relatório anual de segurança cibernética — art. 11º: Documento apresentado pela diretoria responsável aos órgãos de administração, consolidando: ocorrências do período, efetividade dos controles, resultados dos testes, iniciativas de melhoria e plano para o exercício seguinte. O BACEN pode solicitar o relatório durante inspeções e avalia se os administradores têm visibilidade adequada dos riscos cibernéticos.
8. Treinamento e conscientização — art. 5º, inciso V: Programas periódicos de capacitação para todos os colaboradores sobre riscos cibernéticos, engenharia social, phishing e boas práticas. A efetividade dos treinamentos deve ser mensurada — número de cliques em phishing simulado, resultado de avaliações periódicas — e as métricas integradas ao relatório anual.
Prazos escalonados por segmento
O BACEN adota uma abordagem proporcional ao risco: quanto maior a IF, maior o grau de exigência e menor o prazo para adequação. A tabela abaixo reflete o cronograma consolidado das Resoluções 4.893 e 5.274 e das normas complementares emitidas pelo BACEN após 2023.
| Segmento | Critério de enquadramento | Situação |
|---|---|---|
| S1 | Ativos ≥ R$ 500 bi ou atividade internacional significativa | Conformidade plena desde 2022 |
| S2 | Ativos entre R$ 100 bi e R$ 500 bi | Conformidade plena desde 2022 |
| S3 | Ativos entre R$ 1 bi e R$ 100 bi | Adequação concluída (prazo 2023) |
| S4 | Ativos entre R$ 100 mi e R$ 1 bi (cooperativas e IPs de médio porte) | Prazo final: 01/03/2026 |
| S5 | Ativos abaixo de R$ 100 mi (fintechs menores, SCDs iniciais) | Prazo final: 01/03/2026 |
| IPs (todos) | Emissores, credenciadoras, ITPs, PIX, boleto | Alinhado ao segmento equivalente |
O prazo de 01/03/2026 não é um ponto de partida — é a data de vencimento. IFs que começam o programa de adequação em janeiro de 2026 não terão tempo hábil para implementar controles, testar e documentar evidências. O ciclo completo de adequação, incluindo GAP analysis, elaboração de PSC/PRIC, implementação técnica e pentest, leva em média de 3 a 6 meses dependendo da maturidade inicial.
Não deixe para março de 2026. Cada mês sem PSC e PRIC documentados é uma infração administrativa.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte estrutura o programa de adequação
A Decripte conduz o programa de adequação em cinco fases sequenciais, com entregáveis documentados e aprovados em cada etapa. O programa foi desenhado para atender tanto fintechs que partem do zero quanto IFs de médio porte que precisam atualizar sua PSC para incorporar os novos requisitos da Res. 5.274.
Fase 1 — Diagnóstico de aderência (GAP analysis): Avaliação completa dos controles existentes contra os 47 requisitos mapeados das Res. 4.893 e 5.274. Produz relatório de lacunas com prioridade (crítica/alta/média) e estimativa de esforço de implementação. Prazo típico: 2 semanas.
Fase 2 — Elaboração documental (PSC e PRIC): Redação da Política de Segurança Cibernética e do Plano de Resposta a Incidentes personalizado para a IF, incluindo playbooks por tipo de incidente, matriz de responsabilidades, fluxo de notificação ao BACEN e à ANPD, e critérios de escalada. Prazo típico: 3-4 semanas.
Fase 3 — Implementação de controles técnicos: Implantação dos controles identificados no GAP: EDR (Endpoint Detection & Response), MFA para sistemas críticos, SIEM para correlação de eventos, cofre de credenciais, segmentação de rede, monitoramento de APIs de Open Finance. A Decripte opera esses controles via SOC 24x7 ou entrega como implementação pontual.
Fase 4 — Teste de penetração com relatório regulatório: Pentest completo (aplicação, infraestrutura, APIs e engenharia social) conduzido por equipe especializada independente. O relatório técnico inclui evidências de descoberta, classificação CVSS, recomendações de remediação e confirmação de correção (retest). O documento é formatado para apresentação ao BACEN.
Fase 5 — Relatório executivo e plano de manutenção: Elaboração do relatório anual de segurança cibernética (art. 11 da Res. 4.893) para apresentação à diretoria e ao conselho de administração, com métricas de conformidade, cronograma de revisão e plano para o exercício seguinte. A Decripte também oferece monitoramento contínuo via Gestão de Ameaças — a plataforma gratuita que monitora domínios, dados vazados e indicadores de comprometimento da IF.
Penalidades por não conformidade
O regime sancionatório aplicável à Res. 4.893 é estabelecido pela Lei 13.506/2017, que conferiu ao BACEN poderes ampliados para punir infrações à regulação prudencial e operacional. As penalidades administrativas incluem, em ordem crescente de severidade: advertência formal, multa pecuniária de até R$ 2 bilhões por infração (ou 2% da receita anual, o que for maior), suspensão temporária da autorização de funcionamento, cassação definitiva da autorização e inabilitação dos administradores responsáveis por período de até 20 anos.
Na prática, o BACEN tem escalado as penalidades com base na recorrência, no grau de exposição de clientes e no impacto sistêmico. IFs que sofreram incidentes cibernéticos graves sem PRIC documentado, ou que notificaram o BACEN fora do prazo de 3 dias úteis, foram enquadradas em infrações graves. O risco de inabilitação de administradores é especialmente relevante para fundadores de fintechs: um CEO inabilitado não pode ocupar cargos de gestão em qualquer IF autorizada pelo BACEN ou outros reguladores do sistema financeiro.
Há ainda a dimensão da LGPD: incidentes que envolvam dados pessoais de clientes geram obrigação simultânea de notificação à ANPD em até 72 horas, com regime de penalidades próprio da Lei 13.709/2018 (multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração). Para uma fintech de pagamento, um único incidente de vazamento pode acionar penalidades cumulativas do BACEN e da ANPD.
Glossário da regulação
- PSC — Política de Segurança Cibernética
- Documento formal exigido pelo art. 4º da Res. 4.893 que define os objetivos de segurança, controles implementados, responsabilidades e escopo da IF. Deve ser aprovado pela diretoria e revisado periodicamente.
- PRIC — Plano de Resposta a Incidentes Cibernéticos
- Procedimento documentado exigido pelo art. 6º com playbooks por tipo de incidente, matriz de responsabilidades e critérios de notificação ao BACEN (3 dias úteis) e à ANPD (72 horas).
- Segmento S1–S5
- Classificação do BACEN baseada no Índice de Porte e atividade internacional. S1 = maior porte/complexidade; S5 = menor porte. Define o nível de exigência regulatória, prazos de adequação e intensidade da supervisão.
- CSIRT — Computer Security Incident Response Team
- Equipe responsável por detectar, analisar e responder a incidentes cibernéticos. A Res. 5.274 fortaleceu os requisitos: S1 e S2 devem ter CSIRT interno ou terceirizado com disponibilidade 24x7x365.
- IP — Instituição de Pagamento
- Pessoa jurídica autorizada pelo BACEN para emitir instrumentos de pagamento, adquirir ou iniciar transações. Fintechs de pagamento (PIX, boleto, cartão pré-pago) se enquadram nessa categoria e estão sujeitas à Res. 4.893.
- Open Finance
- Sistema regulado pelo BACEN para compartilhamento de dados financeiros via APIs abertas e padronizadas. A Res. 5.274 adicionou requisitos específicos de segurança para participantes do Open Finance, incluindo autenticação reforçada e monitoramento de APIs.
Por onde começar: 9 passos para a adequação
- Identifique o segmento BACEN da sua IF e o prazo limite de conformidade correspondente
- Realize o diagnóstico de aderência (GAP analysis) contra os requisitos da Res. 4.893/5.274
- Elabore ou atualize a Política de Segurança Cibernética (PSC) com aprovação da diretoria
- Documente o Plano de Resposta a Incidentes (PRIC) com playbooks e fluxos de notificação
- Implante controles técnicos prioritários: MFA, EDR, SIEM, cofre de credenciais
- Realize due diligence de segurança nos fornecedores críticos de TI e nuvem
- Contrate pentest externo independente e guarde o relatório técnico com evidências
- Execute treinamentos de conscientização e documente as métricas de efetividade
- Elabore o relatório anual de segurança cibernética (art. 11) para a diretoria
Perguntas frequentes
O que a Resolução BCB 4.893 exige de uma fintech de pagamento?
A Res. 4.893 exige: PSC formalizada e aprovada pela diretoria, PRIC com playbooks documentados, testes de penetração periódicos realizados por equipe capacitada, gestão de risco de fornecedores de TI (due diligence e cláusulas contratuais), mecanismos de notificação ao BACEN em até 3 dias úteis após incidentes relevantes, registro sistemático de ocorrências e relatório anual apresentado à administração. Fintechs classificadas como SEP, SCD ou IP seguem as mesmas diretrizes adaptadas ao porte e modelo de negócio.
Qual é a diferença entre a Resolução 4.893 e a 5.274?
A Res. 4.893/2021 estabeleceu os requisitos gerais de segurança cibernética para IFs. A Res. 5.274/2024 atualizou o texto para incorporar os riscos do ecossistema digital financeiro atual: Open Finance, PIX, Drex e novos arranjos de pagamento. A 5.274 fortaleceu controles de autenticação de APIs, integridade de dados transacionais, requisitos de CSIRT (24x7 para S1-S2) e gestão de terceiros. As IFs que já estavam conformes com a 4.893 precisam revisar a PSC e os controles técnicos para cobrir os novos requisitos da 5.274.
Com que frequência devo realizar pentest para cumprir a resolução?
A Res. 4.893 exige testes de intrusão e varreduras de vulnerabilidades "de forma periódica". A prática consolidada no mercado e validada pelos supervisores do BACEN é: pentest anual + varreduras de vulnerabilidade trimestrais para S1-S2; pentest bianual + varreduras semestrais para S3-S5. Para IFs com Open Finance ativo, recomenda-se pentest de APIs após mudanças significativas na plataforma, independentemente do calendário.
O Banco Central fiscaliza ativamente o cumprimento das resoluções de segurança cibernética?
Sim. O BACEN realiza inspeções ordinárias e extraordinárias e exige a apresentação do relatório anual, registros de ocorrências e evidências de testes realizados. Desde 2023 houve aumento expressivo das ações supervisoras com foco em riscos operacionais e cibernéticos. O BACEN também monitora relatórios de incidentes e pode iniciar inspeção extraordinária após incidente relevante que afete clientes ou a estabilidade do sistema de pagamentos.
A Decripte emite os documentos e relatórios que o BACEN exige?
Sim. A Decripte entrega: PSC personalizada para a sua IF, PRIC com playbooks por tipo de incidente, relatório técnico de pentest com evidências e retest de vulnerabilidades corrigidas, relatório executivo de segurança cibernética (art. 11) para apresentação à diretoria, questionários de due diligence de fornecedores e documentação de controles. Todos os entregáveis são formatados para supervisão do BACEN e podem ser apresentados em inspeção ordinária.
Quais as penalidades para uma fintech não-conforme com a Res. 4.893?
A Lei 13.506/2017 permite ao BACEN aplicar: advertência, multa de até R$ 2 bilhões por infração (ou 2% da receita anual, o que for maior), suspensão temporária de atividades, cassação da autorização de funcionamento e inabilitação de administradores por até 20 anos. Incidentes que envolvam dados pessoais geram penalidades simultâneas da ANPD sob a LGPD (multa de até 2% do faturamento, limitada a R$ 50 mi por infração). O risco é cumulativo: uma única violação pode acionar dois reguladores ao mesmo tempo.
Fintechs menores (S4-S5) têm os mesmos requisitos que grandes bancos?
Os requisitos são os mesmos em essência, mas a proporcionalidade é aplicada na intensidade dos controles. Uma fintech S5 não precisa de um CSIRT interno de 50 pessoas, mas precisa de PSC, PRIC, pentest e gestão de fornecedores — a diferença está no tamanho da equipe, frequência dos testes e sofisticação dos controles técnicos. O BACEN avalia se os controles são adequados ao perfil de risco da IF, não se são idênticos aos de um banco S1.
Planos Decripte para conformidade BACEN
Os serviços abaixo cobrem todos os requisitos das Res. 4.893 e 5.274 — da documentação ao pentest e ao monitoramento contínuo.
Consultoria LGPD, BACEN e vCISO
PSC, PRIC, relatório anual art. 11, due diligence de fornecedores e DPO as a Service.
Pentest e Teste de Invasão
Pentest anual exigido pela Res. 4.893 com relatório técnico para supervisão do BACEN.
Resposta a Incidentes 24x7
PRIC em ação: contenção, forense e notificação ao BACEN no prazo regulatório de 3 dias úteis.
SOC 24x7 Gerenciado
Monitoramento contínuo com SIEM, detecção de fraude e suporte ao CSIRT exigido pela Res. 5.274.
Adeque-se às Res. 4.893 e 5.274 antes do prazo — sem montar uma equipe interna.
PSC, PRIC, pentest, relatório anual e monitoramento 24x7. Comece com o diagnóstico gratuito de conformidade: veja o que já está exposto da sua IF antes de qualquer investimento.
