Demo
← Back to Research

BCB 538/2025 e CMN 5.274/2025: Pentest Obrigatório para Fintechs e Bancos Digitais

2026-04-15 Veyronn Security Research

BCB 538/2025 e CMN 5.274/2025: O Pentest Se Tornou Obrigatório para Fintechs

Em 1º de março de 2026, duas resoluções do Banco Central do Brasil entraram em vigor e mudaram permanentemente o landscape de segurança para o setor financeiro: a Resolução BCB nº 538/2025 e a Resolução CMN nº 5.274/2025.

O ponto central: testes de intrusão (pentest) passaram a ser obrigatórios e anuais para todas as instituições autorizadas pelo BCB.

Se você é CTO, CISO ou responsável de segurança em uma fintech, banco digital, cooperativa de crédito ou instituição de pagamento, este artigo é leitura obrigatória.

O Que Dizem as Resoluções

Resolução CMN nº 5.274/2025

Substituiu a histórica Resolução CMN nº 4.658/2018, atualizando e expandindo os requisitos de segurança cibernética para o sistema financeiro nacional.

Requisitos de pentest explícitos:

“As instituições devem realizar, com periodicidade mínima anual, testes de intrusão (penetration testing) em seus sistemas de informação críticos, conduzidos por profissionais independentes, sem subordinação direta às áreas de desenvolvimento ou operação de infraestrutura.”

Resolução BCB nº 538/2025

Regulamenta a implementação prática dos requisitos técnicos, detalhando:

  • Periodicidade mínima: Anual (sem exceção)
  • Independência do executor: Profissional externo ou interno sem vínculo hierárquico com as áreas auditadas
  • Abrangência: Sistemas críticos, APIs, infraestrutura cloud, e integrações com terceiros (incluindo processadoras de pagamento)
  • Documentação obrigatória: Relatório técnico com evidências, logs, e plano de ação para remediação
  • Retenção: 5 anos à disposição do Banco Central

Quem Está Sujeito

Qualquer instituição autorizada pelo BCB a funcionar, incluindo:

Tipo de InstituiçãoObrigada ao Pentest Anual?
Bancos (S1 a S5)✅ Sim
Bancos Digitais✅ Sim
Fintechs (IP, IF, SCFI)✅ Sim
Cooperativas de Crédito✅ Sim
Administradoras de Cartão✅ Sim
Empresas de Pagamento (IP)✅ Sim
Plataformas de Câmbio✅ Sim

Se você tem autorização do BCB para operar, você precisa de pentest documentado.

O Que o Pentest Deve Cobrir

As resoluções são claras: os testes não podem ser superficiais. Devem avaliar:

  • Aplicações web e mobile expostas ao cliente
  • APIs — incluindo conectores do Open Finance / Pix
  • Infraestrutura de nuvem (AWS, GCP, Azure) — incluindo configurações de IAM, S3/GCS buckets, segurança de clusters
  • Integrações com terceiros e prestadores de serviços críticos
  • Eficácia dos controles de segurança existentes (WAF, IDS, SIEM)

Um relatório de scanner automatizado (Nessus, Qualys, DAST) não atende os requisitos. As resoluções especificam que os testes devem ser conduzidos por pessoas com técnica ofensiva — não apenas ferramentas automatizadas.

O Que o Relatório Deve Conter

Para ser aceito em auditoria do BCB, o relatório de pentest deve incluir:

  1. Metodologia utilizada (OWASP, PTES, NIST SP 800-115)
  2. Escopo testado — sistemas, endpoints, ambientes
  3. Vulnerabilidades encontradas com severidade (CVSS v3.1) e evidência técnica (requests, screenshots)
  4. Exploits demonstrados — não apenas listagem, mas prova de exploração real
  5. Plano de ação — remediações recomendadas para cada vulnerabilidade
  6. Status após reteste — confirmação de que vulnerabilidades críticas foram corrigidas

Consequências do Não-Cumprimento

O não-cumprimento pode resultar em:

  • Sanções administrativas do Banco Central — advertência, multa, e em casos graves, cancelamento de autorização
  • Processos fiscalizatórios — o BCB pode solicitar evidências dos últimos 5 anos de testes
  • Responsabilidade em caso de incidente — sem pentest documentado, a instituição não pode demonstrar diligência técnica. A LGPD e a BACEN podem aplicar penalidades simultâneas
  • Impacto em seguros cibernéticos — seguradoras que pedem pentest report anual negarão cobertura para sinistros se não houver documentação

A Janela de Oportunidade para Quem Age Agora

As resoluções estão vigentes desde março/2026. Fintechs que agem agora têm vantagem competitiva:

  • Due diligence com investidores — VCs e PEs no Brasil já pedem evidência de pentest em Series A/B
  • Contratos com grandes bancos — parceiros do sistema financeiro exigem pentest report como pré-requisito
  • Renovação de seguro cibernético — prêmio menor para quem tem postura de segurança documentada

Como a Veyronn Atende os Requisitos BCB

Realizamos pentests especializados para o setor financeiro que atendem integralmente as Resoluções BCB 538/2025 e CMN 5.274/2025:

  • Executores independentes — sem vínculo com sua equipe de desenvolvimento
  • Relatório estruturado — aceito por auditores do BCB e Big 4
  • Cobertura completa — web, APIs (inclusive Pix e Open Finance), mobile, cloud
  • Reteste incluído — confirmação de remediação para vulnerabilidades críticas
  • Suporte à documentação — auxiliamos na elaboração do plano de ação exigido pela regulação

Sua fintech precisa de pentest conforme BCB 538/2025? Solicite uma proposta — proposta técnica e comercial em 24h.