IN BCB n° 720: O Que Muda na Segurança Cibernética do Open Finance

Equipe Saferinfo 10 min de leitura
Escudo com ícone de banco representando a IN BCB nº 720 e segurança no Open Finance

Em 2 de abril de 2026, o Banco Central do Brasil publicou a Instrução Normativa BCB n° 720, instituindo a versão 5.0 do Manual de Segurança do Open Finance. A norma amplia substancialmente os requisitos técnicos e operacionais de cibersegurança para todas as instituições participantes do ecossistema financeiro aberto brasileiro — e estabelece prazos concretos de adequação que os profissionais de segurança da informação precisam colocar no radar agora.

Este artigo explica o que mudou, quem é impactado e o que sua equipe de segurança precisa fazer.

Contexto regulatório: da Resolução CMN n° 4.893/2021 à IN BCB n° 720

Para entender o peso da IN BCB n° 720, é preciso voltar à Resolução CMN n° 4.893, de 26 de fevereiro de 2021 — o marco regulatório que estabeleceu, pela primeira vez de forma unificada, as diretrizes de política de segurança cibernética para todas as instituições autorizadas a funcionar pelo Banco Central.

A Resolução CMN n° 4.893/2021 determinou que as instituições financeiras deveriam:

  • Implementar e manter uma política formal de segurança cibernética baseada nos princípios de confidencialidade, integridade e disponibilidade;
  • Elaborar um plano de ação e resposta a incidentes com procedimentos, controles e tecnologias documentados;
  • Designar um diretor responsável pela política de segurança cibernética;
  • Produzir um relatório anual contendo a efetividade das ações implementadas, os resultados das rotinas de prevenção e resposta, os incidentes cibernéticos relevantes ocorridos no período e os resultados de testes de continuidade de negócios;
  • Garantir que fornecedores de serviços de processamento de dados e computação em nuvem contratados sigam os mesmos padrões de segurança.

Essa resolução entrou em vigor em 1º de julho de 2021 e foi o ponto de partida para a construção de um arcabouço mais robusto. Ao longo dos anos seguintes, novas normas foram adicionadas, culminando nas atualizações de dezembro de 2025 (Resolução BCB n° 538/2025 e Resolução CMN n° 5.274/2025) e, agora, na IN BCB n° 720 de 2026.

A IN BCB n° 720 não substitui a CMN 4.893 — ela complementa e especifica os requisitos de segurança exclusivamente para o ambiente do Open Finance, tratando de aspectos técnicos detalhados que a resolução de 2021 não cobria.

O que é a IN BCB n° 720

A Instrução Normativa BCB n° 720, publicada em 2 de abril de 2026, institui a versão 5.0 do Manual de Segurança do Open Finance. O manual é o documento técnico que detalha os controles obrigatórios de segurança para todas as instituições que participam do Open Finance Brasil — o sistema que permite ao consumidor compartilhar seus dados financeiros com outras instituições de forma segura e consentida.

A norma organiza os requisitos de segurança em quatro eixos principais:

  1. Governança — estrutura de responsabilidades, políticas e gestão de riscos cibernéticos
  2. Proteção — controles preventivos, criptografia, gestão de acessos e APIs
  3. Detecção — monitoramento contínuo, testes de intrusão e análise de vulnerabilidades
  4. Reação — planos de resposta a incidentes, comunicação e recuperação

Quem é obrigado a cumprir

A IN BCB n° 720 se aplica a todas as instituições participantes do Open Finance Brasil, que incluem:

Tipo de instituiçãoExemplos
Bancos comerciais e múltiplosItaú, Bradesco, BB, Caixa, bancos digitais
Bancos de investimento e desenvolvimentoBNDES, bancos de nicho
Instituições de pagamento (IPs)Fintechs de pagamento, carteiras digitais, credenciadoras
Cooperativas de créditoSicoob, Sicredi e demais cooperativas autorizadas pelo BCB
Sociedades de créditoSCFIs, SCDs, SEPs
Seguradoras e previdênciaParticipantes do Open Insurance integrados ao ecossistema
Fintechs autorizadasEmpresas com autorização do BCB para operar no Open Finance

Se sua empresa possui autorização do Banco Central para operar e é participante do Open Finance — seja como transmissora de dados (compartilha dados de clientes com consentimento) ou receptora de dados (recebe dados para oferecer produtos) — a norma se aplica integralmente.

Os principais requisitos técnicos

1. Acesso exclusivo via APIs seguras

O manual determina que todo acesso a dados e serviços no Open Finance deve ocorrer exclusivamente por meio de APIs, com mecanismos robustos de autenticação e comunicação segura. Não há exceção: integrações legadas ou canais alternativos não são permitidos para operações do ecossistema.

2. Certificados digitais ICP-Brasil obrigatórios

A assinatura de mensagens e a comunicação entre sistemas devem utilizar certificados digitais válidos emitidos por autoridades certificadoras da ICP-Brasil. A norma foi reforçada para ampliar o uso dos certificados ICP-Brasil especificamente nas comunicações do Open Finance, elevando o padrão de autenticidade e não-repúdio das transações.

3. Criptografia com padrões mínimos

O BCB recomenda explicitamente o uso de algoritmos criptográficos avançados:

  • AES-256 para criptografia simétrica (dados em repouso e em trânsito)
  • SHA-256 ou superior para funções de hash
  • RSA-2048 ou superior (ou equivalentes em curvas elípticas) para criptografia assimétrica

O uso de algoritmos obsoletos (como MD5, SHA-1 ou RSA com chaves menores) não é compatível com os requisitos da norma.

4. Testes de intrusão anuais obrigatórios

O plano de ação e resposta a incidentes deve incluir a execução de testes de intrusão (pentests) com frequência mínima anual, com foco nos sistemas, APIs e demais recursos relacionados à implementação e operação do Open Finance. Os resultados devem ser documentados e as vulnerabilidades críticas remediadas em prazo definido.

5. Gestão de credenciais e certificados comprometidos

A norma estabelece procedimentos claros para o caso de comprometimento:

Em caso de comprometimento de credencial Open Finance:

  • A instituição deve revogar imediatamente a credencial no Diretório de Participantes;
  • Deve compartilhar a informação com as demais instituições participantes, observando regulação aplicável.

Em caso de comprometimento de certificado de segurança:

  • A instituição deve solicitar prontamente a revogação do certificado comprometido junto à autoridade certificadora;
  • Deve compartilhar a informação com a Estrutura de Governança do Open Finance e com as demais instituições participantes.

6. Bloqueio de APIs como recurso de segurança

A norma permite — de forma opcional — que instituições implementem bloqueio de acesso às suas APIs para endereçar riscos cibernéticos ou responder a incidentes em andamento. A implementação deve ser consistente com a política de segurança cibernética da instituição e não pode ser usada de forma arbitrária.

7. Compartilhamento de informações sobre incidentes

Informações sobre incidentes de segurança cibernética devem ser compartilhadas com os representantes de gestão de incidentes das instituições participantes e disponibilizadas ao Banco Central do Brasil, conforme regulação aplicável. Isso cria uma rede de inteligência de ameaças entre os participantes do ecossistema.

Prazo de adequação

A IN BCB n° 720 estabelece que a conformidade obrigatória com os itens 3.28 a 3.30 e 6.18 do Manual de Segurança entra em vigor em 3 de novembro de 2026. Esses itens tratam especificamente dos novos requisitos de autenticação, certificação e controles de acesso às APIs.

Os demais requisitos do Manual de Segurança versão 5.0 têm vigência imediata a partir da publicação da instrução normativa.

Atenção: O prazo de novembro de 2026 pode parecer distante, mas projetos de adequação envolvendo revisão de arquitetura de APIs, atualização de certificados e implementação de novos controles de segurança normalmente levam de 3 a 6 meses.

Impactos para a área de segurança da informação

Gap Analysis e revisão de conformidade

O primeiro passo para qualquer CISO ou responsável pela segurança é conduzir um gap analysis comparando o estado atual dos controles com os requisitos da versão 5.0 do Manual de Segurança. Isso deve cobrir:

  • Inventário de APIs do Open Finance e seus mecanismos de autenticação atuais
  • Estado dos certificados digitais (validade, autoridade emissora, algoritmos)
  • Algoritmos criptográficos em uso nos sistemas do Open Finance
  • Procedimentos documentados para revogação de credenciais e certificados
  • Integração do Open Finance no plano de resposta a incidentes existente

Atualização do plano de resposta a incidentes

O plano de ação e resposta a incidentes exigido pela CMN 4.893/2021 precisa ser revisado e atualizado para incorporar os procedimentos específicos do Open Finance determinados pela IN BCB n° 720:

  • Fluxo de revogação de credenciais e certificados comprometidos
  • Protocolo de notificação às demais instituições participantes
  • Critérios e procedimento para bloqueio de APIs em situação de incidente
  • Canal de comunicação com a Estrutura de Governança do Open Finance e com o BCB

Gestão de vulnerabilidades e pentests

Se a instituição ainda não realiza pentests anuais específicos para seus ambientes Open Finance, é necessário contratar e planejar esse serviço. O escopo mínimo deve cobrir:

  • APIs expostas ao ecossistema Open Finance
  • Mecanismos de autenticação e autorização (OAuth 2.0, FAPI)
  • Gestão de certificados e chaves criptográficas
  • Infraestrutura de comunicação segura

Os resultados dos testes devem ser documentados e integrados ao relatório anual de segurança exigido pela CMN 4.893/2021.

Treinamento e cultura de segurança

A norma exige mecanismos para a disseminação da cultura de segurança cibernética na instituição. Para as equipes que trabalham diretamente com o Open Finance, isso significa treinamentos específicos sobre:

  • Riscos cibernéticos do compartilhamento de dados financeiros
  • Procedimentos de gestão de credenciais e certificados
  • Reconhecimento e resposta a incidentes no ambiente Open Finance

Revisão de contratos com fornecedores

Seguindo a base estabelecida pela CMN 4.893/2021, todos os fornecedores de serviços de processamento, armazenamento e computação em nuvem envolvidos na operação do Open Finance devem estar contratualmente obrigados a seguir os mesmos requisitos de segurança. Revise os contratos existentes e inclua cláusulas específicas sobre os controles da IN BCB n° 720.

Relação entre a IN BCB n° 720 e a CMN 4.893/2021

É importante compreender como essas duas normas se relacionam:

AspectoCMN 4.893/2021IN BCB n° 720
EscopoTodas as instituições autorizadas pelo BCBParticipantes do Open Finance
NaturezaPolítica e governança de segurançaRequisitos técnicos operacionais
FocoEstrutura, política e planosAPIs, certificados, criptografia, incidentes
RelatórioAnual obrigatório ao BCBCompartilhamento de incidentes em tempo real
Vigência1º/7/2021 (com atualizações em 2025)2/4/2026 (novos itens: 3/11/2026)

Em resumo: a CMN 4.893 define o que a instituição deve ter em termos de governança e política de segurança. A IN BCB n° 720 define como essa segurança deve ser implementada tecnicamente no contexto do Open Finance.

Checklist de adequação para equipes de segurança

Use esta lista como ponto de partida para o planejamento da adequação:

Imediato (até 90 dias)

  • Conduzir gap analysis baseado no Manual de Segurança v5.0
  • Inventariar todas as APIs do Open Finance e seus controles atuais
  • Verificar se os certificados digitais são emitidos por autoridade ICP-Brasil
  • Revisar algoritmos criptográficos em uso — eliminar MD5, SHA-1 e RSA < 2048 bits
  • Atualizar o plano de resposta a incidentes para cobrir cenários do Open Finance

Médio prazo (90 a 180 dias)

  • Planejar e contratar pentest anual do ambiente Open Finance
  • Implementar procedimentos de revogação de credenciais e certificados
  • Estabelecer canal de comunicação com Estrutura de Governança do Open Finance
  • Revisar contratos de fornecedores de cloud e processamento de dados
  • Treinar equipes técnicas nos novos procedimentos de segurança

Antes de 3 de novembro de 2026

  • Implementar os controles dos itens 3.28 a 3.30 e 6.18 do Manual v5.0
  • Validar a conformidade com teste de aderência ao manual
  • Documentar evidências de conformidade para eventual fiscalização do BCB

Por que levar a sério

O Banco Central tem intensificado a fiscalização do cumprimento das normas de segurança cibernética no sistema financeiro. A não conformidade com as determinações da IN BCB n° 720 pode resultar em:

  • Sanções administrativas previstas na Lei n° 4.595/1964 e legislação complementar;
  • Cancelamento da autorização para operar no Open Finance;
  • Responsabilização do diretor designado para segurança cibernética (obrigação imposta pela CMN 4.893/2021);
  • Danos reputacionais decorrentes de incidentes em ambiente não adequado às normas.

Além do risco regulatório, a adequação é uma oportunidade real de elevar a maturidade de segurança do ecossistema Open Finance — protegendo os dados financeiros dos consumidores e reduzindo o risco de incidentes que podem interromper serviços críticos.


A IN BCB n° 720 representa a consolidação de um processo regulatório que começou com a CMN 4.893/2021: o Banco Central está construindo, norma a norma, um ecossistema financeiro digitalmente mais seguro. Para as equipes de segurança da informação, o caminho é direto — gap analysis, atualização do plano de resposta a incidentes e implementação dos controles técnicos — antes que os prazos expirem.

Alertas de Segurança

Sem spam. Cancele quando quiser. Ao se inscrever você concorda com nossa política de privacidade.

Compartilhar: Twitter LinkedIn WhatsApp
S

Equipe Saferinfo

Especialistas em cibersegurança dedicados a tornar a segurança digital acessível para todos os brasileiros. Nosso objetivo é educar e proteger.

Leia também