BCB 538/2025: o prazo venceu. A sua fintech está em risco?
CompliancePublicado em: 23/04/2026
Em dezembro de 2025, o Banco Central publicou a Resolução BCB 538. Em 1º de março de 2026, o prazo de adequação encerrou. Se você ainda não tem evidências documentadas dos 14 controles mínimos — esta leitura é urgente.
O que mudou — e por que importa agora
A Resolução BCB nº 538, publicada em 18 de dezembro de 2025, não é uma atualização cosmética. Ela altera a Resolução BCB 85/2021 e redefine o que o Banco Central entende por segurança cibernética no ecossistema de pagamentos.
A norma se aplica diretamente a instituições de pagamento (IPs), corretoras e distribuidoras. Ou seja: se você opera como IP — e a maioria das fintechs de Série A-C opera —, a BCB 538 é o seu novo padrão mínimo. Sem exceção.
O prazo de adequação era 1º de março de 2026. Já passou. O que o BCB passou a buscar nas fiscalizações não são mais políticas de segurança bem redigidas. São evidências: logs, trilhas auditáveis, relatórios de pentest assinados, planos de ação com data de implementação.
“A fintech precisa demonstrar, de forma clara e rastreável, que seus controles existem, são aplicados e são monitorados.” — Dra. Laura Cunha, especialista em Direito Empresarial
A diferença entre a norma anterior (BCB 85/2021) e a BCB 538 é exatamente essa: saiu o modelo baseado em princípios gerais, entrou o modelo prescritivo. O regulador não deixa mais margem de interpretação.
Os 14 controles mínimos — e o que cada um significa na prática
A BCB 538 expande o Art. 3º da resolução anterior e estabelece 14 procedimentos e controles obrigatórios. Não são sugestões de boas práticas. São requisitos técnicos verificáveis. Veja o que sua equipe precisa ter documentado e operacional:
| Controle | O que exige na prática |
| 1. Autenticação e MFA | Verificação de identidade forte, especialmente em acessos privilegiados e ambientes do Pix/STR |
| 2. Criptografia | Proteção de dados em trânsito e em repouso, com gestão de chaves privadas inacessíveis a terceiros |
| 3. Prevenção e detecção de intrusão | Sistemas ativos de monitoramento, não apenas políticas escritas |
| 4. Proteção contra vazamento de dados (DLP) | Controles técnicos que impeçam exfiltração de dados sensíveis |
| 5. Rastreabilidade de operações | Logs completos e auditáveis, com prazos de retenção definidos por tipo de operação |
| 6. Backup e recuperação | Planos testados de continuidade — o BCB quer saber se o plano funciona, não se existe |
| 7. Gestão de vulnerabilidades | Processo contínuo e estruturado, não varreduras ocasionais |
| 8. Pentest anual independente | Obrigatório. Profissional ou empresa independente. Relatório retido por 5 anos |
| 9. Hardening de sistemas | Configurações mínimas de segurança em todos os sistemas críticos |
| 10. Proteção de rede e perímetro | Isolamento lógico e físico de ambientes críticos (Pix, STR, RSFN) |
| 11. Gestão de certificados digitais | Ciclo de vida documentado e controlado |
| 12. Segurança em APIs | Revisão de segurança de APIs próprias e de parceiros integrados |
| 13. Threat Intelligence (CTI) | Monitoramento ativo na internet aberta, deep web e dark web — obrigatório |
| 14. Segurança no desenvolvimento | Controles de segurança integrados ao pipeline de desenvolvimento (CI/CD, code review) |
Dois controles merecem atenção especial de founders e CTOs: o pentest anual independente e o Threat Intelligence.
Pentest anual: A independência é requisito literal da norma. Se o mesmo fornecedor que gerencia sua infraestrutura também realiza o pentest, o BCB pode questionar a imparcialidade — e a evidência perde validade. Os relatórios precisam ser mantidos por pelo menos 5 anos, junto com os planos de ação de remediação.
Threat Intelligence: Não é mais opcional. O BCB exige que sua instituição monitore ativamente menções à marca, credenciais expostas e ameaças na dark web. Postura reativa — esperar o incidente acontecer — deixou de ser aceitável regulatoriamente.
Por que o BCB publicou isso agora
A BCB 538 não surgiu do nada. Ela é a resposta regulatória a dois fenômenos simultâneos que tornaram o sistema de pagamentos brasileiro um vetor crítico de risco:
- Volume do Pix: O sistema registrou 36,9 bilhões de operações no primeiro semestre de 2025. Em dezembro de 2025, um único dia bateu 313 milhões de transações. Escala nessa magnitude transforma qualquer vulnerabilidade técnica em risco sistêmico.
- Custo dos incidentes: O relatório IBM Cost of a Data Breach 2025 aponta custo médio de R$ 8,92 milhões por violação no setor financeiro brasileiro — acima dos R$ 7,19 milhões da média geral do país. O elemento humano está envolvido em 60% das violações (Verizon DBIR 2025).
- Superfície de ataque expandida: Open Finance, APIs com parceiros, fintechs em nuvem pública — o ecossistema de pagamentos é hoje uma rede de integrações. Cada ponto de conexão é uma porta potencial.
A BCB 538 é publicada em conjunto com a Resolução CMN 5.274/2025, que aplica os mesmos padrões para bancos tradicionais. O sinal é claro: o regulador quer simetria técnica entre bancos e fintechs. Independentemente da licença, a robustez da defesa cibernética precisa ser idêntica e auditável.
“Cibersegurança deixou de ser item de conformidade e passou a integrar a arquitetura de valor do sistema financeiro.” — InfoMoney, fevereiro 2026
O que muda para o C-Level: segurança entra na pauta do Conselho
Essa é a mudança que mais impacta founders e executivos: a BCB 538 torna cibersegurança um tema obrigatório na agenda da diretoria e do conselho.
Os reportes periódicos às instâncias de governança agora precisam contemplar: incidentes cibernéticos relevantes do período, resultados de testes de continuidade, resultados de pentests e análises de vulnerabilidade — todos com planos de ação documentados.
Traduzindo: se o seu CTO reporta cibersegurança apenas para o time técnico, isso precisa mudar. O BCB quer ver que a alta administração está envolvida e informada. E vai verificar isso durante fiscalizações.
Para CMOs e equipes de growth, há um impacto indireto relevante: a norma amplia os controles de segurança para o desenvolvimento de software — incluindo revisão de código, testes de segurança em aplicações e análise de bibliotecas open-source. Campanhas que dependem de integrações técnicas (pixels, SDKs, APIs de parceiros) passam a precisar de revisão de segurança documentada.
| ⚠ Ponto de atenção para fintechs em nuvem: a BCB 538 exige isolamento físico e lógico de ambientes críticos. Instâncias de computação em nuvem devem ser dedicadas e apartadas de outros sistemas. Provedores de nuvem não podem ter acesso às chaves privadas da instituição. Se você usa cloud compartilhado para o ambiente Pix ou STR, essa arquitetura precisa ser revisada. |
O risco de não conformidade — antes e depois do prazo
O prazo de 1º de março de 2026 já encerrou. O que isso significa, na prática, para quem ainda não completou a adequação?
Primeiro, o risco regulatório direto: o BCB pode iniciar processo administrativo sancionador, aplicar multas e, em casos graves, suspender ou revogar autorizações de funcionamento. Para IPs em processo de captação ou renovação de licença, a ausência de evidências de conformidade é um bloqueio imediato.
Segundo, o risco reputacional e de captação: investidores de Série B e C já incluem questões de conformidade regulatória no processo de due diligence. Uma fintech sem documentação de pentest ou sem programa de Threat Intelligence estruturado vai encontrar questões difíceis de responder numa sala de Term Sheet.
Terceiro, o risco operacional: fintechs que não monitoram deep e dark web não sabem se credenciais de colaboradores ou clientes já foram comprometidas. A ausência de Threat Intelligence não significa ausência de ameaças — significa ausência de visibilidade.
Como transformar conformidade em vantagem competitiva
Compliance tem duas faces. A face óbvia é o custo de não cumprir. A face que a maioria ignora é o valor de cumprir com documentação, visibilidade e comunicação.
Fintechs que documentam seus 14 controles, realizam pentest anual independente e estruturam um programa de CTI têm um ativo concreto para usar em três contextos:
- Pitch de captação: Investidores de Série B e C em setores regulados querem ver maturidade operacional. Um relatório de pentest recente, assinado por empresa independente, e um programa de Threat Intelligence documentado são provas de governança — não apenas de conformidade.
- Onboarding de clientes enterprise: Empresas maiores que integram com sua API vão questionar sua postura de segurança. Ter evidências auditáveis encurta esse ciclo de vendas.
- Comunicação de marca: Marcas que comunicam proativamente sua maturidade em segurança constroem confiança antes de qualquer incidente. Após um incidente, essa confiança é muito mais difícil de recuperar.
A diferença entre cibersegurança como custo e cibersegurança como ativo é, na maioria dos casos, documentação e comunicação. Os controles técnicos muitas vezes já existem — o que falta é torná-los auditáveis e visíveis.
Checklist de adequação: onde você está agora?
Se você quer uma leitura rápida da maturidade da sua fintech frente à BCB 538, avalie os 8 pontos abaixo:
- [ ] Pentest anual realizado: Por empresa ou profissional independente do seu fornecedor de infraestrutura, com relatório documentado.
- [ ] Plano de ação de pentest: Com vulnerabilidades identificadas, prazos de remediação e evidências de correção — retido por 5 anos.
- [ ] Threat Intelligence ativo: Monitoramento de internet aberta, deep web e dark web, com processo documentado.
- [ ] MFA em ambientes críticos: Especialmente acessos administrativos e conectividade RSFN/Pix/STR.
- [ ] Isolamento de ambientes Pix/STR: Lógico e físico, com acesso de terceiros (incluindo cloud) restrito às chaves privadas.
- [ ] Rastreabilidade de operações: Logs com prazos de retenção definidos por tipo de operação e auditáveis.
- [ ] Segurança no desenvolvimento: Revisão de código, análise de dependências open-source e testes de segurança em aplicações documentados.
- [ ] Reporte à diretoria: Cibersegurança na pauta do conselho, com evidências de que a alta administração está informada.
Se você marcou menos de 5 itens, o gap é material. Se marcou entre 5 e 7, o problema provavelmente não é a implementação técnica — é a documentação e a evidência auditável.
O próximo passo
A BCB 538/2025 consolidou uma transição que vinha acontecendo há anos no mercado financeiro: cibersegurança saiu da área de TI e entrou na estratégia de negócio. Não é mais possível tratar conformidade como tarefa do time técnico e crescimento como tarefa do time de produto. As duas agendas se cruzam — e precisam ser gerenciadas de forma integrada.
Na Tridvo, a nossa abordagem para adequação à BCB 538 combina diagnóstico regulatório, estruturação de evidências e comunicação de maturidade. Não apenas para cumprir a norma — mas para transformar o que é obrigatório em diferencial competitivo.
| Quer saber onde está o gap da sua fintech frente aos 14 controles da BCB 538? Fazemos o diagnóstico e entregamos a matriz de adequação em 48h. Sem achismo, sem relatório genérico. |
Perguntas Frequentes (FAQ)
A Resolução BCB nº 538/2025 é a norma publicada pelo Banco Central do Brasil em 18 de dezembro de 2025 que atualiza as regras de segurança cibernética para instituições de pagamento (IPs), corretoras e distribuidoras. Ela substitui a Resolução BCB 85/2021 e estabelece 14 controles mínimos obrigatórios, com prazo de adequação até 1º de março de 2026.
Sim. A BCB 538/2025 se aplica diretamente a instituições de pagamento (IPs), que é a licença operada pela maioria das fintechs de Série A-C no Brasil. Bancos tradicionais e cooperativas de crédito seguem a norma espelho: Resolução CMN nº 5.274/2025. As exigências técnicas são equivalentes nas duas normas.
Os 14 controles mínimos obrigatórios da BCB 538/2025 são: (1) autenticação e MFA, (2) criptografia, (3) prevenção e detecção de intrusão, (4) proteção contra vazamento de dados (DLP), (5) rastreabilidade de operações, (6) backup e recuperação, (7) gestão de vulnerabilidades, (8) pentest anual independente, (9) hardening de sistemas, (10) proteção de rede e isolamento de ambientes críticos, (11) gestão de certificados digitais, (12) segurança em APIs, (13) Threat Intelligence com monitoramento de dark web, e (14) segurança no desenvolvimento de software.
Sim. A BCB 538/2025 exige que o teste de intrusão (pentest) seja realizado por profissional ou empresa independente da instituição — ou seja, não pode ser o mesmo fornecedor que gerencia sua infraestrutura de segurança. Os relatórios, planos de ação e evidências de remediação devem ser documentados e mantidos por pelo menos 5 anos.
Threat Intelligence (CTI) é o monitoramento ativo de ameaças cibernéticas em fontes abertas, deep web e dark web — incluindo credenciais vazadas, menções à instituição e movimentações de grupos criminosos. A BCB 538/2025 torna esse monitoramento obrigatório porque a maioria dos incidentes financeiros começa por credenciais comprometidas, e uma postura reativa (esperar o ataque acontecer) deixou de ser regulatoriamente aceitável.
O prazo de adequação à Resolução BCB 538/2025 era 1º de março de 2026 para instituições já em funcionamento na data de publicação (18 de dezembro de 2025). O prazo já encerrou. Fintechs que não completaram a adequação estão sujeitas a fiscalização, processo administrativo sancionador e, em casos graves, suspensão ou revogação da licença de funcionamento.
As duas normas têm conteúdo técnico equivalente — são normas espelho publicadas no mesmo dia (18/12/2025). A diferença está no escopo: a CMN 5.274/2025 se aplica a instituições financeiras (bancos, cooperativas de crédito); a BCB 538/2025 se aplica a instituições de pagamento (IPs), corretoras e distribuidoras. Ambas têm o mesmo prazo: 1º de março de 2026.
O BCB não busca apenas políticas escritas — busca evidências de que os controles existem, são aplicados e são monitorados. Isso inclui: logs com trilhas auditáveis, relatórios de pentest assinados por empresa independente, planos de ação de remediação com datas, documentação de testes de continuidade e reportes formais de cibersegurança à diretoria e ao conselho.
Sim, com requisitos específicos. A BCB 538/2025 exige isolamento físico e lógico de ambientes críticos (Pix, STR, RSFN) — inclusive em nuvem. Isso significa que instâncias de computação em nuvem devem ser dedicadas e separadas de outros sistemas. Provedores de nuvem não podem ter acesso às chaves privadas da instituição. Arquiteturas de nuvem compartilhada para ambientes críticos precisam ser revisadas.
Referências normativas:
- Resolução BCB nº 538, de 18/12/2025
- Resolução CMN nº 5.274, de 18/12/2025
- Resolução BCB nº 85/2021 (alterada)
- IBM Cost of a Data Breach 2025
- Verizon DBIR 2025
Continue Lendo
A automação regulatória saiu do porão das fintechs e virou manchete. Pressões de AML, KYC, proteção de dados e governança levaram mais de 70 % dos reguladores no mundo a atualizar suas regras nos últimos três anos, e o mercado de RegTech está projetado para crescer de cerca de US$ 13,5 bilhões hoje para mais de US$ 60 bilhões até […]
O mercado de fintechs brasileiro acaba de entrar em uma nova fase de maturidade regulatória. Em 28 de novembro de 2025, o Banco Central publicou a Resolução Conjunta nº 17/2025, um normativo que redefine as regras do jogo para a nomenclatura e a apresentação ao público de todas as instituições autorizadas a funcionar pelo BC. […]