#401 – Novas regras de segurança do BC
Description
Neste episódio falamos sobre as novas e rigorosas regras de segurança do Banco Central para o sistema financeiro (Resolução 498) após os recentes ataques cibernéticos. Discutimos a exigência de diretorias específicas para gestão de riscos e segurança, a necessidade de segregação de funções para evitar conflitos de interesse, e a obrigatoriedade de auditorias externas anuais e certificações como a ISO 27001. Analisamos também os novos controles técnicos, como o isolamento de ambientes Pix, a gestão de chaves criptográficas e o monitoramento de atividades suspeitas, especialmente em horários não convencionais.
Aprofundamos a análise sobre como essas novas regras de segurança da informação são uma resposta direta a incidentes de grande repercussão, como os ataques que desviaram milhões de reais. O episódio explora a mudança mais significativa: a responsabilidade agora é estendida aos contratantes dos PSTIs, que deverão monitorar e até denunciar seus fornecedores ao Banco Central em caso de descumprimento. Abordamos o impacto dessa nova camada de supervisão e conformidade, que vai além do PSTI e atinge todo o ecossistema que utiliza o sistema financeiro nacional.
Para não perder nenhuma análise sobre direito da tecnologia, segurança e privacidade, assine o podcast Segurança Legal, siga-nos em sua plataforma de preferência e deixe sua avaliação para apoiar nosso trabalho.
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing
ShowNotes
Imagem do episódio – Duty de Edmund Blair Leighton
📝 Transcrição do Episódio
[Música] (00:02 ) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação, Direito da Tecnologia e Tecnologia e Sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. Tudo bem, Vinícius? Como vai? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes.
(00:25 ) Sempre lembrando que, para nós, é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Vocês já sabem. Estamos lá no podcast@segurancalegal.com, também no YouTube, Mastodon, Bluesky e Instagram. Temos também, como você já sabe, a nossa campanha de financiamento coletivo no Apoia-se: apoia.se/segurancalegal.
(00:46 ) Nós sempre conclamamos que você, se puder, claro, apoie este projeto independente, Vinícius, e resistente. Insistimos, 401 episódios, então é sempre bom contar com o apoio de vocês. Ele também é importante para a manutenção deste podcast. Você também tem o blog da Brownpipe, então entre lá em brownpipe.com.
(01:11 ) br, consegue lá clicar no blog, ver as notícias mais importantes e se inscrever no mailing semanal para que você também fique atualizado. Inclusive, a notícia com base no nosso tema de hoje também está lá no mailing, Vinícius, que é justamente essa movimentação do Banco Central: novas regras de segurança do Banco Central depois de, pelo menos, dois grandes incidentes. Tivemos em julho de 2025 o incidente da CM, do qual nós falamos no episódio 396, e o mais recente agora da Cínquia, Vinícius. O ataque que teria desviado 710 milhões também com PSTI, afetou o HSBC na
(01:57 ) maior parte dos valores. Mas eles conseguiram recuperar, até o momento, 589 milhões, o que seria 83% do que teria sido desviado. Ou seja, uma boa quantia, um bom valor em termos proporcionais. Mas ainda assim, ficou cento e poucos milhões ali. Sim, mas 83% é um bom número.
(02:30 ) Não, você está sendo otimista. Eles poderiam ter falado 10% do valor. Aí sim. Seria um desastre. Você nota que, para uma quadrilha hoje, roubar 700, 710 milhões em espécie de um banco é uma tarefa, eu diria, próxima do impossível, envolvendo um risco e um planejamento completamente maiores, uma logística maior.
(02:56 ) E, Vinícius, antes de começarmos propriamente a falar sobre essa resolução do Banco Central, a resolução 498, que saiu na sexta-feira, na noite da sexta-feira, dia 5 de setembro. Sim, nós falamos sobre isso no episódio 396. Nós até fomos conferir na pauta e, claro, antecipamos, na verdade, uma tendência. Me parece que é uma tendência, pelo menos para quem conhece este mercado e para quem tem acompanhado a atuação do Banco Central, uma tendência meio óbvia. O que
(03:29 ) dissemos é que o Bacen deveria aprimorar suas práticas de segurança, principalmente exigindo, monitorando e acompanhando a segurança dessas instituições. E, dois meses depois, justamente veio essa regra, que também contou com uma entrevista coletiva dada pelo Galípolo, que falou sobre algumas questões e depois respondeu perguntas da imprensa. Inclusive, também fizemos um resumo dessa entrevista que ele deu, e está lá no nosso mailing, perdão, no nosso blog.
(04:05 ) E fica aquela sensação de que, de fato, o Banco Central se movimentou, Vinícius. Sim, sem dúvida. Acho que não teria outra resposta possível, porque se o Banco Central não fizesse um mínimo de movimento no sentido de exigir maiores controles e segurança dessas instituições, colocaria em xeque a própria confiança no sistema. E sabemos que a confiança no sistema financeiro é algo extremamente importante e conta com uma
(04:40 ) série de proteções. E o que não falta, e nós chegamos a comentar no nosso episódio 396, é gente para dizer bobagem, para dizer que o sistema financeiro é ruim. Não falta esse tipo de coisa. Então, é mais uma ação afirmativa no sentido de garantir a segurança do sistema financeiro, desse mecanismo todo que envolve centenas, milhares de instituições que estão vinculadas numa grande rede. E nessa rede
(05:14 ) temos nada mais, nada menos do que dinheiro sendo transferido. Ou seja, em vez de ter que explodir um carro-forte como acontecia alguns anos atrás (talvez ainda aconteça), em vez de ter que fechar uma cidade inteira e tentar roubar uma agência de um banco, hoje o que se precisa é de acesso à rede do Sistema Financeiro Nacional
(05:40 ) e interagir com o Pix, que é o meio preferido. É quase como dinheiro em espécie circulando ali. Então, nada mais natural do que o Banco Central reforçar – eu não digo tanto criar novas coisas, Guilherme Goulart, pelo que nos pareceu – mas reforçar coisas que nós já tínhamos em outras resoluções, em outros regulamentos. Sim, sem dúvida.
(06:06 ) Quando olhamos para a ISO 27002, por exemplo, e também para algumas resoluções e regras do Banco Central, ela meio que consolida isso. Não tem nada de muito novo aqui. Tem algumas regrinhas que vemos que foram feitas exatamente para o caso da CM, por exemplo, que vamos destacar aqui.
(06:27 ) Algumas dessas criações ficam bem claras, mas mesmo essas inovações, que eventualmente para alguns podem parecer uma novidade, elas estão lá na ISO, por exemplo, há anos. Inclusive, são temas que, em geral, as empresas não dão muita atenção; um deles aqui que a gente vai comentar.
(06:45 ) Fique conosco, não vá embora. Você vai saber. Tem que segurar a audiência, Vinícius. Vamos lá. O que vamos fazer? Vamos comentar algumas das regras aqui desta resolução. Algumas não vamos falar, porque ela é de certa forma extensa, Vinícius, tem 38, 39 artigos. Então, vamos deixar de fora algumas questões como descredenciamento dos PSTIs, algumas questões sobre planos de continuidade, a tal da saída ordenada do PSTI do sistema financeiro, que seria: se você tem problemas ou ele não cumpre com as
(07:16 ) regras, ele não para de prestar o serviço imediatamente, porque, claro, você vai ter outras instituições utilizando aquele serviço. E também uma questão que eles até investiram um certo tempo ali de regulação, que é a gestão de crises operacionais, que é um elemento mais, eu diria, de alto nível e que toca até nessa questão da confiança que você comentou. Ou seja, é papel do ente regulador aqui também manter a con
United States
