IN BCB n° 720: O Que Muda na Segurança Cibernética do Open Finance
Em 2 de abril de 2026, o Banco Central do Brasil publicou a Instrução Normativa BCB n° 720, instituindo a versão 5.0 do Manual de Segurança do Open Finance. A norma amplia substancialmente os requisitos técnicos e operacionais de cibersegurança para todas as instituições participantes do ecossistema financeiro aberto brasileiro — e estabelece prazos concretos de adequação que os profissionais de segurança da informação precisam colocar no radar agora.
Este artigo explica o que mudou, quem é impactado e o que sua equipe de segurança precisa fazer.
Contexto regulatório: da Resolução CMN n° 4.893/2021 à IN BCB n° 720
Para entender o peso da IN BCB n° 720, é preciso voltar à Resolução CMN n° 4.893, de 26 de fevereiro de 2021 — o marco regulatório que estabeleceu, pela primeira vez de forma unificada, as diretrizes de política de segurança cibernética para todas as instituições autorizadas a funcionar pelo Banco Central.
A Resolução CMN n° 4.893/2021 determinou que as instituições financeiras deveriam:
- Implementar e manter uma política formal de segurança cibernética baseada nos princípios de confidencialidade, integridade e disponibilidade;
- Elaborar um plano de ação e resposta a incidentes com procedimentos, controles e tecnologias documentados;
- Designar um diretor responsável pela política de segurança cibernética;
- Produzir um relatório anual contendo a efetividade das ações implementadas, os resultados das rotinas de prevenção e resposta, os incidentes cibernéticos relevantes ocorridos no período e os resultados de testes de continuidade de negócios;
- Garantir que fornecedores de serviços de processamento de dados e computação em nuvem contratados sigam os mesmos padrões de segurança.
Essa resolução entrou em vigor em 1º de julho de 2021 e foi o ponto de partida para a construção de um arcabouço mais robusto. Ao longo dos anos seguintes, novas normas foram adicionadas, culminando nas atualizações de dezembro de 2025 (Resolução BCB n° 538/2025 e Resolução CMN n° 5.274/2025) e, agora, na IN BCB n° 720 de 2026.
A IN BCB n° 720 não substitui a CMN 4.893 — ela complementa e especifica os requisitos de segurança exclusivamente para o ambiente do Open Finance, tratando de aspectos técnicos detalhados que a resolução de 2021 não cobria.
O que é a IN BCB n° 720
A Instrução Normativa BCB n° 720, publicada em 2 de abril de 2026, institui a versão 5.0 do Manual de Segurança do Open Finance. O manual é o documento técnico que detalha os controles obrigatórios de segurança para todas as instituições que participam do Open Finance Brasil — o sistema que permite ao consumidor compartilhar seus dados financeiros com outras instituições de forma segura e consentida.
A norma organiza os requisitos de segurança em quatro eixos principais:
- Governança — estrutura de responsabilidades, políticas e gestão de riscos cibernéticos
- Proteção — controles preventivos, criptografia, gestão de acessos e APIs
- Detecção — monitoramento contínuo, testes de intrusão e análise de vulnerabilidades
- Reação — planos de resposta a incidentes, comunicação e recuperação
Quem é obrigado a cumprir
A IN BCB n° 720 se aplica a todas as instituições participantes do Open Finance Brasil, que incluem:
| Tipo de instituição | Exemplos |
|---|---|
| Bancos comerciais e múltiplos | Itaú, Bradesco, BB, Caixa, bancos digitais |
| Bancos de investimento e desenvolvimento | BNDES, bancos de nicho |
| Instituições de pagamento (IPs) | Fintechs de pagamento, carteiras digitais, credenciadoras |
| Cooperativas de crédito | Sicoob, Sicredi e demais cooperativas autorizadas pelo BCB |
| Sociedades de crédito | SCFIs, SCDs, SEPs |
| Seguradoras e previdência | Participantes do Open Insurance integrados ao ecossistema |
| Fintechs autorizadas | Empresas com autorização do BCB para operar no Open Finance |
Se sua empresa possui autorização do Banco Central para operar e é participante do Open Finance — seja como transmissora de dados (compartilha dados de clientes com consentimento) ou receptora de dados (recebe dados para oferecer produtos) — a norma se aplica integralmente.
Os principais requisitos técnicos
1. Acesso exclusivo via APIs seguras
O manual determina que todo acesso a dados e serviços no Open Finance deve ocorrer exclusivamente por meio de APIs, com mecanismos robustos de autenticação e comunicação segura. Não há exceção: integrações legadas ou canais alternativos não são permitidos para operações do ecossistema.
2. Certificados digitais ICP-Brasil obrigatórios
A assinatura de mensagens e a comunicação entre sistemas devem utilizar certificados digitais válidos emitidos por autoridades certificadoras da ICP-Brasil. A norma foi reforçada para ampliar o uso dos certificados ICP-Brasil especificamente nas comunicações do Open Finance, elevando o padrão de autenticidade e não-repúdio das transações.
3. Criptografia com padrões mínimos
O BCB recomenda explicitamente o uso de algoritmos criptográficos avançados:
- AES-256 para criptografia simétrica (dados em repouso e em trânsito)
- SHA-256 ou superior para funções de hash
- RSA-2048 ou superior (ou equivalentes em curvas elípticas) para criptografia assimétrica
O uso de algoritmos obsoletos (como MD5, SHA-1 ou RSA com chaves menores) não é compatível com os requisitos da norma.
4. Testes de intrusão anuais obrigatórios
O plano de ação e resposta a incidentes deve incluir a execução de testes de intrusão (pentests) com frequência mínima anual, com foco nos sistemas, APIs e demais recursos relacionados à implementação e operação do Open Finance. Os resultados devem ser documentados e as vulnerabilidades críticas remediadas em prazo definido.
5. Gestão de credenciais e certificados comprometidos
A norma estabelece procedimentos claros para o caso de comprometimento:
Em caso de comprometimento de credencial Open Finance:
- A instituição deve revogar imediatamente a credencial no Diretório de Participantes;
- Deve compartilhar a informação com as demais instituições participantes, observando regulação aplicável.
Em caso de comprometimento de certificado de segurança:
- A instituição deve solicitar prontamente a revogação do certificado comprometido junto à autoridade certificadora;
- Deve compartilhar a informação com a Estrutura de Governança do Open Finance e com as demais instituições participantes.
6. Bloqueio de APIs como recurso de segurança
A norma permite — de forma opcional — que instituições implementem bloqueio de acesso às suas APIs para endereçar riscos cibernéticos ou responder a incidentes em andamento. A implementação deve ser consistente com a política de segurança cibernética da instituição e não pode ser usada de forma arbitrária.
7. Compartilhamento de informações sobre incidentes
Informações sobre incidentes de segurança cibernética devem ser compartilhadas com os representantes de gestão de incidentes das instituições participantes e disponibilizadas ao Banco Central do Brasil, conforme regulação aplicável. Isso cria uma rede de inteligência de ameaças entre os participantes do ecossistema.
Prazo de adequação
A IN BCB n° 720 estabelece que a conformidade obrigatória com os itens 3.28 a 3.30 e 6.18 do Manual de Segurança entra em vigor em 3 de novembro de 2026. Esses itens tratam especificamente dos novos requisitos de autenticação, certificação e controles de acesso às APIs.
Os demais requisitos do Manual de Segurança versão 5.0 têm vigência imediata a partir da publicação da instrução normativa.
Atenção: O prazo de novembro de 2026 pode parecer distante, mas projetos de adequação envolvendo revisão de arquitetura de APIs, atualização de certificados e implementação de novos controles de segurança normalmente levam de 3 a 6 meses.
Impactos para a área de segurança da informação
Gap Analysis e revisão de conformidade
O primeiro passo para qualquer CISO ou responsável pela segurança é conduzir um gap analysis comparando o estado atual dos controles com os requisitos da versão 5.0 do Manual de Segurança. Isso deve cobrir:
- Inventário de APIs do Open Finance e seus mecanismos de autenticação atuais
- Estado dos certificados digitais (validade, autoridade emissora, algoritmos)
- Algoritmos criptográficos em uso nos sistemas do Open Finance
- Procedimentos documentados para revogação de credenciais e certificados
- Integração do Open Finance no plano de resposta a incidentes existente
Atualização do plano de resposta a incidentes
O plano de ação e resposta a incidentes exigido pela CMN 4.893/2021 precisa ser revisado e atualizado para incorporar os procedimentos específicos do Open Finance determinados pela IN BCB n° 720:
- Fluxo de revogação de credenciais e certificados comprometidos
- Protocolo de notificação às demais instituições participantes
- Critérios e procedimento para bloqueio de APIs em situação de incidente
- Canal de comunicação com a Estrutura de Governança do Open Finance e com o BCB
Gestão de vulnerabilidades e pentests
Se a instituição ainda não realiza pentests anuais específicos para seus ambientes Open Finance, é necessário contratar e planejar esse serviço. O escopo mínimo deve cobrir:
- APIs expostas ao ecossistema Open Finance
- Mecanismos de autenticação e autorização (OAuth 2.0, FAPI)
- Gestão de certificados e chaves criptográficas
- Infraestrutura de comunicação segura
Os resultados dos testes devem ser documentados e integrados ao relatório anual de segurança exigido pela CMN 4.893/2021.
Treinamento e cultura de segurança
A norma exige mecanismos para a disseminação da cultura de segurança cibernética na instituição. Para as equipes que trabalham diretamente com o Open Finance, isso significa treinamentos específicos sobre:
- Riscos cibernéticos do compartilhamento de dados financeiros
- Procedimentos de gestão de credenciais e certificados
- Reconhecimento e resposta a incidentes no ambiente Open Finance
Revisão de contratos com fornecedores
Seguindo a base estabelecida pela CMN 4.893/2021, todos os fornecedores de serviços de processamento, armazenamento e computação em nuvem envolvidos na operação do Open Finance devem estar contratualmente obrigados a seguir os mesmos requisitos de segurança. Revise os contratos existentes e inclua cláusulas específicas sobre os controles da IN BCB n° 720.
Relação entre a IN BCB n° 720 e a CMN 4.893/2021
É importante compreender como essas duas normas se relacionam:
| Aspecto | CMN 4.893/2021 | IN BCB n° 720 |
|---|---|---|
| Escopo | Todas as instituições autorizadas pelo BCB | Participantes do Open Finance |
| Natureza | Política e governança de segurança | Requisitos técnicos operacionais |
| Foco | Estrutura, política e planos | APIs, certificados, criptografia, incidentes |
| Relatório | Anual obrigatório ao BCB | Compartilhamento de incidentes em tempo real |
| Vigência | 1º/7/2021 (com atualizações em 2025) | 2/4/2026 (novos itens: 3/11/2026) |
Em resumo: a CMN 4.893 define o que a instituição deve ter em termos de governança e política de segurança. A IN BCB n° 720 define como essa segurança deve ser implementada tecnicamente no contexto do Open Finance.
Checklist de adequação para equipes de segurança
Use esta lista como ponto de partida para o planejamento da adequação:
Imediato (até 90 dias)
- Conduzir gap analysis baseado no Manual de Segurança v5.0
- Inventariar todas as APIs do Open Finance e seus controles atuais
- Verificar se os certificados digitais são emitidos por autoridade ICP-Brasil
- Revisar algoritmos criptográficos em uso — eliminar MD5, SHA-1 e RSA < 2048 bits
- Atualizar o plano de resposta a incidentes para cobrir cenários do Open Finance
Médio prazo (90 a 180 dias)
- Planejar e contratar pentest anual do ambiente Open Finance
- Implementar procedimentos de revogação de credenciais e certificados
- Estabelecer canal de comunicação com Estrutura de Governança do Open Finance
- Revisar contratos de fornecedores de cloud e processamento de dados
- Treinar equipes técnicas nos novos procedimentos de segurança
Antes de 3 de novembro de 2026
- Implementar os controles dos itens 3.28 a 3.30 e 6.18 do Manual v5.0
- Validar a conformidade com teste de aderência ao manual
- Documentar evidências de conformidade para eventual fiscalização do BCB
Por que levar a sério
O Banco Central tem intensificado a fiscalização do cumprimento das normas de segurança cibernética no sistema financeiro. A não conformidade com as determinações da IN BCB n° 720 pode resultar em:
- Sanções administrativas previstas na Lei n° 4.595/1964 e legislação complementar;
- Cancelamento da autorização para operar no Open Finance;
- Responsabilização do diretor designado para segurança cibernética (obrigação imposta pela CMN 4.893/2021);
- Danos reputacionais decorrentes de incidentes em ambiente não adequado às normas.
Além do risco regulatório, a adequação é uma oportunidade real de elevar a maturidade de segurança do ecossistema Open Finance — protegendo os dados financeiros dos consumidores e reduzindo o risco de incidentes que podem interromper serviços críticos.
A IN BCB n° 720 representa a consolidação de um processo regulatório que começou com a CMN 4.893/2021: o Banco Central está construindo, norma a norma, um ecossistema financeiro digitalmente mais seguro. Para as equipes de segurança da informação, o caminho é direto — gap analysis, atualização do plano de resposta a incidentes e implementação dos controles técnicos — antes que os prazos expirem.
Alertas de Segurança
Sem spam. Cancele quando quiser. Ao se inscrever você concorda com nossa política de privacidade.
Equipe Saferinfo
Especialistas em cibersegurança dedicados a tornar a segurança digital acessível para todos os brasileiros. Nosso objetivo é educar e proteger.
Leia também
Ransomware: O Que É e Como Proteger Sua Empresa
Entenda como funcionam os ataques de ransomware, por que o Brasil está entre os países mais afetados e quais medidas práticas sua empresa pode adotar hoje para se proteger.