O Banco Central decidiu que diretrizes vagas não resolvem mais. Em dezembro de 2025, publicou duas resoluções que mudam o tom da conversa sobre segurança cibernética no sistema financeiro brasileiro. E no centro de quase todas as novas exigências está um tema que muita gente ainda trata como operacional: a gestão de quem acessa o quê.
Se você trabalha com segurança em instituição financeira, provavelmente viu chegar a CMN 5.274/2025 e a Resolução BCB 538/2025.
O escopo é amplo. O prazo para adequação é 1º de março de 2026. E a lista de controles obrigatórios é comporta por 14 pontos, detalhados como nunca foram antes.
Desta vez, o Banco Central foi direto. A digitalização acelerada, o crescimento exponencial do Pix e os volumes de transação que passam pela Rede do Sistema Financeiro Nacional tornaram insustentável um modelo regulatório baseado em diretrizes vagas. O novo arcabouço estabelece 14 controles mínimos obrigatórios e detalha exigências que antes ficavam a critério de cada instituição. O espaço para interpretação diminuiu. A cobrança por evidências aumentou.
Entre esses controles, um tema atravessa quase todos os outros: identidade.
Autenticação forte, rastreabilidade de acessos, gestão de certificados digitais, segregação de ambientes, governança sobre terceiros. É difícil encontrar uma exigência que não passe, em algum momento, pela pergunta fundamental de quem está acessando o quê.
A conformidade mudou de patamar
Quem acompanha regulação de perto sabe que a postura do Banco Central evoluiu. A Resolução CMN 4.893/2021 trazia princípios importantes, mas deixava margem para adaptações. Agora, as novas resoluções pedem capacidade operacional comprovável. Logs, trilhas de auditoria, relatórios de incidentes e testes de intrusão precisam chegar ao nível executivo. As reuniões com auditores vão exigir mais do que políticas bem escritas.
Essa mudança afeta especialmente as instituições de pagamento, corretoras e distribuidoras, que agora operam sob o mesmo nível de exigência das grandes instituições financeiras. A mensagem é: se você processa dados financeiros ou acessa infraestruturas críticas como Pix, STR ou RSFN, precisa demonstrar controle sobre suas identidades.
Demonstrar controle é diferente de afirmar que ele existe. Significa ter registros, processos documentados e a capacidade de responder rapidamente quando um auditor perguntar quem aprovou determinado acesso, quando ele foi concedido e sob qual justificativa.
O desafio do controle fragmentado de identidades
A maioria das organizações financeiras tem algum nível de gestão de identidade implementado. O problema é que, na prática, esse controle costuma ser fragmentado. O Active Directory cuida de parte dos acessos, uma ferramenta de PAM monitora os privilegiados, outra solução gerencia os certificados, e uma planilha coordena os acessos de terceiros.
Tenha uma plataforma unificada de identidade. Uma única estratégia. Zero lacunas.
Elimine acessos órfãos. Proteja credenciais críticas. Recupere AD em horas, não em dias. Conheça agora.
Quando chega o momento de uma certificação de acessos, o gestor de segurança precisa consolidar informações de cinco sistemas diferentes. O aprovador recebe uma lista com centenas de linhas, aprova tudo sem revisar porque não tem tempo, e o processo se repete no trimestre seguinte. É o que o mercado chama, sem muito carinho, de “rubber-stamping”.
Essa fadiga de certificação esconde riscos reais. Contas órfãs que permanecem ativas meses depois de um desligamento. Terceiros com acessos que deveriam ter expirado. Bots e contas de serviço que ninguém sabe exatamente o que fazem ou quem autorizou. E quando um incidente acontece, a primeira pergunta que surge é justamente sobre identidade: como esse acesso foi concedido?
O que as resoluções cobram na prática
As novas regras do Banco Central não falam em “gestão de identidade e acesso” como categoria isolada. Mas é impossível cumprir os requisitos sem um programa estruturado nessa área. Autenticação com múltiplos fatores, mecanismos de rastreabilidade, gestão de certificados, controle de acessos privilegiados. Cada um desses itens compõe um ecossistema que precisa funcionar de forma integrada.
A resolução também amplia a responsabilidade sobre terceiros. Instituições que contratam provedores de tecnologia ou serviços em nuvem precisam garantir que esses parceiros operem sob os mesmos padrões de segurança. Isso significa segregar claramente identidades internas de identidades externas, aplicar o princípio do menor privilégio e manter registros que permitam auditar qualquer movimentação.
Para quem lida com ambientes híbridos (parte on-premise, parte em nuvem) o desafio se multiplica. Cada ambiente tem seu próprio modelo de permissões, e a visibilidade consolidada exige integração técnica cuidadosa.
O caminho que faz sentido
Quem já passou por um projeto de IAM sabe que tecnologia sem estratégia produz resultados limitados. Antes de escolher qualquer solução, vale responder algumas perguntas.
- Você conhece todas as identidades do seu ambiente? Não apenas os colaboradores com crachá, mas as contas de serviço, os acessos de parceiros, os certificados que autenticam sistemas?
- Você sabe quais delas têm privilégios elevados e quem autorizou cada permissão?
- Você consegue demonstrar, com evidências, o ciclo de vida completo de um acesso, da concessão à revogação?
Se a resposta a qualquer dessas perguntas não for clara, o primeiro passo não é contratar um software. É fazer um diagnóstico realista. Mapear o que existe, identificar os gaps em relação às exigências regulatórias e desenhar um plano de adequação que considere a realidade operacional da instituição.
Esse trabalho exige conhecimento técnico profundo e experiência em ambientes financeiros. Porque é preciso compreender como bancos, corretoras e instituições de pagamento operam, quais são suas particularidades de compliance e onde estão os riscos que não aparecem nos dashboards.
Os próximos meses vão definir muita coisa
Março de 2026 está logo ali. As instituições que iniciarem agora um programa estruturado de gestão de identidade e acesso terão tempo de fazer ajustes antes da primeira auditoria sob as novas regras. As que deixarem para depois vão enfrentar um cenário de pressa, remediação emergencial e exposição regulatória.
Mas há um aspecto positivo nessa pressão. Projetos de IAM bem conduzidos geram apenas conformidade e melhoram a operação. Provisionamento automatizado de acessos reduz erros e acelera a entrada de novos colaboradores. Revisões periódicas bem desenhadas diminuem a superfície de ataque. Visibilidade sobre identidades privilegiadas permite respostas mais rápidas a incidentes.
Quando a identidade está sob controle, a segurança deixa de ser um obstáculo e passa a habilitar o negócio. E isso, no fim das contas, é o que todo CISO quer entregar para sua organização.
A Redbelt Security tem um pilar dedicado à gestão de identidade e acesso, combinando excelência técnica com uma abordagem consultiva que entende as particularidades de cada cliente. Se sua instituição precisa de apoio para navegar as novas exigências regulatórias, fale com nosso time.
