Segurança cibernética no Brasil: verificação documental para setores críticos 2026
Resolução CMN nº 4.893/2021, LGPD e E-Ciber: obrigações de verificação documental para infraestruturas críticas no Brasil em 2026. Fornecedores, pessoal e notificação de incidentes.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokEnquanto a Diretiva NIS2 (Diretiva (UE) 2022/2555) organiza a proteção de infraestruturas críticas nos Estados-membros da União Europeia, as empresas brasileiras seguem um quadro regulatório próprio que impõe obrigações equivalentes — e em alguns domínios mais específicas. A Resolução CMN nº 4.893/2021, a LGPD (Lei nº 13.709/2018) e a Estratégia Nacional de Cibersegurança (E-Ciber) formam o tripé regulatório que determina como entidades brasileiras em setores críticos devem gerir, verificar e conservar documentação em 2026.
Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico, financeiro ou regulamentar. As referências regulamentares são exatas à data de publicação. Consulte um profissional qualificado para orientação adaptada à sua situação.
Este artigo examina cada pilar desse arcabouço, identifica as obrigações concretas de verificação documental que delas decorrem e explica por que a automação deixou de ser uma opção operacional para se tornar um requisito de conformidade.
Panorama regulatório da cibersegurança no Brasil em 2026
O Brasil não dispõe de uma norma única equivalente à NIS2. Em vez disso, a proteção de infraestruturas críticas e as obrigações de segurança da informação estão distribuídas por um conjunto articulado de instrumentos legais e normativos.
O Gabinete de Segurança Institucional (GSI) coordena a política nacional de segurança da informação por meio do Departamento de Segurança da Informação e Comunicações (DSIC). A Portaria PR/SAGID nº 587/2021 instituiu a Estratégia Nacional de Segurança Cibernética (E-Ciber 2020-2023), que define ações prioritárias e orienta a atuação dos órgãos setoriais. Para as entidades do governo federal, o CTIR Gov (Centro de Tratamento e Resposta a Incidentes de Segurança Cibernética do Governo) é a referência operacional para gestão de incidentes.
No setor privado, os reguladores setoriais lideram: o Banco Central do Brasil (Bacen) para instituições financeiras, a CVM (Comissão de Valores Mobiliários) para o mercado de capitais, a SUSEP (Superintendência de Seguros Privados) para seguros, e a ANPD (Autoridade Nacional de Proteção de Dados) para o tratamento de dados pessoais em todos os setores.
O Marco Legal da Cibersegurança (PL 2630/2020 e correlatos) avança no Congresso desde 2020 e, caso aprovado, consolidará as obrigações hoje dispersas em um instrumento único de maior alcance setorial. Em 2026, aguarda-se votação no Senado Federal.
O Marco Civil da Internet (Lei 12.965/2014) estabelece os princípios gerais para o uso da internet no Brasil, incluindo a proteção de registros, dados pessoais e comunicações privadas, e continua sendo um referencial jurídico importante para qualquer organização que processe dados em ambiente digital.
Resolução CMN nº 4.893/2021: obrigações documentais para instituições financeiras
A Resolução CMN nº 4.893/2021 — atualização da anterior Res. 4.658/2018 — é o instrumento central da regulamentação de segurança cibernética para o setor financeiro brasileiro. Ela se aplica a bancos, cooperativas de crédito, fintechs, instituições de pagamento, corretoras de valores e demais entidades autorizadas pelo Bacen.
A norma exige a adoção de política de segurança cibernética formalizada, compatível com o porte e o perfil de risco da instituição. Essa política deve contemplar: inventário dos ativos de informação, classificação dos dados sensíveis, controles de acesso, gestão de vulnerabilidades, capacitação de pessoal, programas de testes de resiliência e — de especial relevância para a verificação documental — rastreabilidade completa dos processos de tratamento de informação.
O artigo 7.º da norma exige a verificação sistemática dos prestadores de serviços tecnológicos relevantes, com destaque para os serviços em nuvem. A avaliação deve cobrir a adequação dos controles de segurança do fornecedor, a localização física dos dados, as cláusulas contratuais de auditabilidade e os direitos de acesso dos supervisores. Qualquer plataforma de verificação documental utilizada por uma instituição financeira enquadra-se neste âmbito: deve ser registada no inventário de serviços contratados, avaliada quanto aos riscos e monitorizada de forma contínua.
Para a verificação de identidade e onboarding de clientes, a Resolução CMN nº 4.893/2021 converge com as obrigações de prevenção à lavagem de dinheiro (PLD/FT) da Lei 9.613/1998 e da Circular Bacen 3.978/2020. As evidências de identificação de clientes — CPF, CNPJ, CNH, RG, Certidão Simplificada da Junta Comercial — devem ser conservadas por no mínimo cinco anos, com trilhas de auditoria que permitam reconstruir cada etapa do processo de verificação.
A Resolução BCB nº 85/2021, que regula o Open Finance no Brasil, acrescenta uma camada adicional: as entidades participantes do ecossistema de Open Finance devem verificar e validar documentação de credenciamento em cada etapa do ciclo de vida do acordo de compartilhamento de dados, com registros que demonstrem a conformidade em tempo real.
LGPD e verificação documental: responsabilidades dos operadores
A Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) impõe obrigações transversais a qualquer organização que trate dados pessoais no Brasil, independentemente do setor. Para entidades que realizam verificação documental, as implicações são diretas.
Documentos de identidade como CPF, RG e CNH são dados pessoais sujeitos à LGPD. O seu tratamento exige base legal adequada (consentimento, obrigação legal, legítimo interesse ou outras previstas no art. 7.º da LGPD), finalidade determinada e medidas de segurança técnicas e administrativas proporcionais ao risco. Dados de saúde ou biométricos eventualmente coletados em processos de verificação de vivacidade facial classificam-se como dados sensíveis (art. 11), sujeitos a requisitos ainda mais rigorosos.
A ANPD supervisa a aplicação da LGPD e emite orientações sobre as medidas de segurança esperadas dos controladores e operadores. As notas de orientação da ANPD recomendam que os controladores adotem, entre outras medidas: cifração de dados pessoais em repouso e em trânsito, controles de acesso baseados no princípio do menor privilégio, registros de operações de tratamento (logs de auditoria) e procedimentos documentados de resposta a incidentes.
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a LGPD exige comunicação à ANPD e aos titulares afetados. A orientação da ANPD recomenda que essa comunicação ocorra sem demora injustificada, com referência a dois dias úteis como parâmetro de celeridade. O relatório de notificação deve documentar a natureza dos dados afetados, o número de titulares envolvidos, as medidas técnicas e organizacionais adotadas antes do incidente e as ações de contenção e remediação implementadas.
Para a verificação documental, a LGPD cria um duplo imperativo: os documentos de identidade coletados devem ser tratados com segurança adequada (proteção do dado), mas os registros do processo de verificação devem ser retidos para fins de comprovação de conformidade (retenção da evidência). Gerir essa tensão exige soluções que separem logicamente o armazenamento do dado pessoal do registro da operação de verificação.
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoSegurança da cadeia de fornecimento: verificar documentação de terceiros
A verificação de fornecedores críticos é uma obrigação explícita do quadro regulatório brasileiro. O artigo 7.º da Resolução CMN nº 4.893/2021 exige que as instituições financeiras avaliem os riscos associados a cada prestador de serviços tecnológicos relevante, com profundidade proporcional à criticidade do serviço.
Na prática, essa avaliação traduz-se em verificação documental sistemática: certidões de regularidade fiscal e trabalhista, documentos societários atualizados (contrato social ou estatuto, atas de assembleia), certidões de ausência de sanções em cadastros como o CEIS (Cadastro de Empresas Inidôneas e Suspensas), documentação de certificações de segurança (ISO 27001, SOC 2), relatórios de pentest recentes e evidências de conformidade com a LGPD.
A verificação do CNPJ junto à Receita Federal do Brasil é o ponto de partida mínimo. A Certidão Simplificada da Junta Comercial comprova a situação societária e o quadro de administradores, dados relevantes para a identificação dos beneficiários finais nos termos da Resolução Bacen 44/2021.
O programa de gestão de riscos de terceiros (TPRM) deve cobrir não apenas o momento da contratação inicial, mas também a reavaliação periódica — anual para fornecedores críticos — e os eventos que disparam revisão extraordinária: incidentes de segurança conhecidos, mudanças societárias, alterações no modelo de negócio do fornecedor ou notícias de sanções regulatórias.
A automação da verificação documental de fornecedores elimina o risco de desatualização do inventário de terceiros, um dos achados mais frequentes nas fiscalizações do Bacen em instituições financeiras. Uma plataforma que mantém trilhas de auditoria completas para cada verificação fornece a evidência de due diligence contínua exigida pelos supervisores.
Documentação de pessoal e controlo de acessos
Os controlos de acesso lógico são um componente central da política de segurança cibernética exigida pela Resolução CMN nº 4.893/2021. A norma exige que o acesso a sistemas críticos seja concedido em função da necessidade, com revisão periódica dos privilégios e revogação imediata quando cessa a necessidade (princípio do menor privilégio).
Para suportar esses controlos, as organizações precisam de um programa robusto de verificação documental de pessoal. Na admissão: verificação de identidade (CPF + RG ou CNH), conferência de antecedentes criminais por meio de certidões dos distribuidores cíveis e criminais, verificação de diplomas e certificações profissionais para funções reguladas, e confirmação de vínculos empregatícios anteriores. Para funções com acesso a dados sensíveis ou sistemas críticos, a due diligence estendida pode incluir verificação de referências profissionais e declarações de conflito de interesses.
Funcionários que acessam dados de clientes enquadrados como dados pessoais pela LGPD ficam sujeitos às obrigações de confidencialidade e segurança da norma. A documentação dessas verificações prévias à concessão de acesso constitui evidência de que a organização adotou medidas técnicas e organizacionais adequadas, um requisito explícito do artigo 46 da LGPD.
Para prestadores de serviços e consultores externos com acesso a sistemas ou dados da organização, as mesmas obrigações de verificação documental se aplicam, acrescidas da necessidade de acordos de processamento de dados (DPA — Data Processing Agreement) nos termos do artigo 39 da LGPD quando o prestador atua como operador de dados pessoais.
O construir um programa de conformidade documental robusto passa, necessariamente, pela integração dos fluxos de verificação de pessoal e terceiros numa plataforma única que permita gestão centralizada, alertas de revalidação e produção de evidências para auditorias.
Prazos de notificação de incidentes: Bacen, ANPD e CTIR Gov
O quadro regulatório brasileiro estabelece obrigações de notificação de incidentes para múltiplas autoridades, com prazos e conteúdos distintos que as organizações devem conhecer com precisão.
Bacen — instituições financeiras: a Resolução CMN nº 4.893/2021 exige que incidentes relevantes de segurança cibernética sejam reportados ao Bacen. A norma define como relevantes os incidentes que afetem funções críticas, comprometam a confidencialidade ou integridade de dados, ou causem indisponibilidade relevante de serviços. O Bacen não fixou um prazo único expresso em horas, mas a expectativa regulatória é de comunicação tempestiva, compatível com a gestão em tempo real do incidente.
ANPD — todos os controladores: a LGPD exige comunicação à ANPD de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares. A orientação da ANPD recomenda a comunicação sem demora injustificada, com dois dias úteis como referência prática. A notificação deve incluir: data e hora do incidente, natureza dos dados afetados, número estimado de titulares, medidas de segurança adotadas antes do incidente e medidas de contenção implementadas.
CTIR Gov — entidades do governo federal: para órgãos e entidades da administração pública federal, o CTIR Gov é o ponto de contato para notificação e resposta a incidentes. Os procedimentos seguem as diretrizes do DSIC e da GSI.
A multiplicidade de destinatários exige que as organizações mantenham documentação padronizada de incidentes que possa ser adaptada a cada formato de notificação sem necessidade de reconstrução do histórico do evento. Um sistema de verificação documental com trilha de auditoria integrada gera automaticamente os registros necessários para compor os relatórios de notificação, reduzindo o tempo de resposta e o risco de inconsistências entre comunicações a diferentes autoridades.
NIS2 vs. Marco Regulatório Brasileiro: tabela comparativa
Enquanto a NIS2 aplica-se à UE, as empresas brasileiras seguem a Resolução CMN nº 4.893/2021, a LGPD e a E-Ciber com obrigações de verificação documental equivalentes. A tabela abaixo apresenta o mapeamento funcional entre os dois quadros regulatórios.
| Dimensão | NIS2 (UE) | Marco Regulatório Brasileiro |
|---|---|---|
| Instrumento principal | Diretiva (UE) 2022/2555 | Res. CMN nº 4.893/2021 + LGPD + E-Ciber |
| Âmbito setorial | 18 setores essenciais e importantes | Financeiro (Bacen), seguros (SUSEP), capitais (CVM), todos (LGPD) |
| Autoridade de supervisão | Autoridade nacional competente + ENISA | Bacen, CVM, SUSEP, ANPD, GSI/DSIC |
| Política de segurança | Obrigatória, aprovação pela direção | Obrigatória, aprovação pela diretoria (art. 7.º Res. 4.893/2021) |
| Gestão de riscos de terceiros | Obrigatória, avaliação de fornecedores TIC | Obrigatória, art. 7.º Res. 4.893/2021 |
| Notificação de incidentes | 24h alerta inicial, 72h relatório | Sem prazo fixo (Bacen), 2 dias úteis recomendado (ANPD) |
| Verificação documental de pessoal | Implícita nos controlos de acesso | Explícita: PLD/FT + controlos de acesso + LGPD |
| Identificadores de entidade | Número de registo UE | CNPJ (Receita Federal), Certidão Junta Comercial |
| Identificadores de pessoa | eIDAS, documentos nacionais | CPF, RG, CNH |
| Proteção de dados | RGPD (complementar) | LGPD — Lei 13.709/2018 (ANPD) |
| Conservação de evidências | Mínimo 5 anos (variável por setor) | Mínimo 5 anos (Lei 9.613/1998, art. 10) |
| Sanções máximas | 10 M EUR ou 2% do volume de negócios | Até R$ 50 milhões por infração (LGPD); sanções cumulativas Bacen |
A convergência funcional é clara: ambos os quadros exigem governança formalizada, gestão de riscos de terceiros com base documental, trilhas de auditoria para processos críticos e notificação tempestiva de incidentes. A diferença reside na fragmentação normativa brasileira, que obriga as entidades a monitorizar múltiplos instrumentos e múltiplos reguladores.
Como o CheckFile apoia a conformidade documental no Brasil
A plataforma CheckFile suporta mais de 3.200 tipos de documentos em 32 jurisdições, incluindo os documentos brasileiros mais utilizados em processos regulados: CPF, CNPJ, CNH, RG, passaportes, Certidões da Junta Comercial e declarações da Receita Federal.
Para instituições financeiras sujeitas à Resolução CMN nº 4.893/2021, o CheckFile oferece rastreabilidade completa de cada verificação documental, com trilhas de auditoria com carimbo de data e hora, resultados determinísticos e exportação de relatórios compatíveis com os formatos de evidência exigidos pelo Bacen. Os registros de verificação são conservados conforme os prazos configuráveis, com suporte ao mínimo de cinco anos exigido pela Lei 9.613/1998.
Para os fluxos LGPD, o CheckFile separa logicamente o armazenamento do dado pessoal do registro da operação de verificação, permitindo gerir o ciclo de vida do dado pessoal (incluindo o direito ao apagamento) sem comprometer a integridade da trilha de auditoria de conformidade.
Para a verificação de fornecedores e pessoal, a plataforma permite configurar fluxos de due diligence com alertas de revalidação periódica, integração com bases de dados de sanções e produção automatizada de dossiês de evidência para auditorias internas e externas.
As equipas de KYC e onboarding bancário que utilizam o CheckFile reduzem o tempo médio de verificação de identidade de dias para minutos, sem comprometer a profundidade dos controlos. A API de verificação documental permite integrar os fluxos de conformidade nos sistemas existentes sem substituição de plataformas críticas.
Consulte os nossos preços e planos ou contacte a equipa para uma avaliação dos seus processos de verificação documental face ao quadro regulatório brasileiro de 2026.
Para uma abordagem integrada da conformidade, consulte também o nosso guia completo de conformidade documental.
Este artigo é fornecido com caráter informativo e não constitui aconselhamento jurídico, financeiro ou regulatório. Para situações específicas, consulte um profissional qualificado.
Perguntas frequentes
A NIS2 aplica-se a empresas brasileiras?
Não. A Diretiva NIS2 (Diretiva (UE) 2022/2555) aplica-se exclusivamente a entidades estabelecidas ou que prestem serviços na União Europeia. Empresas com sede no Brasil e sem operações na UE não estão sujeitas à NIS2. O quadro regulatório equivalente para entidades brasileiras é composto pela Resolução CMN nº 4.893/2021 (setor financeiro), pela LGPD e pela E-Ciber. Empresas brasileiras com subsidiárias ou operações na UE devem cumprir ambos os quadros em paralelo.
Qual é o prazo para notificar a ANPD em caso de incidente de segurança com dados pessoais?
A LGPD exige comunicação à ANPD sem demora injustificada. A orientação publicada pela ANPD estabelece dois dias úteis como parâmetro de referência para incidentes que possam acarretar risco ou dano relevante aos titulares. A notificação deve conter a descrição dos dados afetados, o número estimado de titulares envolvidos, as medidas de segurança que estavam em vigor antes do incidente e as ações de contenção e remediação implementadas. A ausência de notificação ou a notificação tardia pode resultar em sanções administrativas nos termos do artigo 52 da LGPD.
Quais documentos de identidade são aceites para verificação de clientes no Brasil?
Para identificação de pessoas físicas em processos regulados (KYC, PLD/FT, onboarding financeiro), os documentos aceites incluem o CPF (Cadastro de Pessoas Físicas), o RG (Registro Geral), a CNH (Carteira Nacional de Habilitação) e o passaporte. O CPF é o identificador fiscal primário e consta em praticamente todos os processos regulados no Brasil, equivalendo ao NIF europeu. Para pessoas jurídicas, o CNPJ (Cadastro Nacional da Pessoa Jurídica) é o identificador primário, complementado pela Certidão Simplificada da Junta Comercial para verificação da situação societária.
A Resolução CMN nº 4.893/2021 aplica-se a fintechs e instituições de pagamento?
Sim. A Resolução CMN nº 4.893/2021 aplica-se a todas as instituições autorizadas a funcionar pelo Banco Central do Brasil, incluindo fintechs de crédito, instituições de pagamento, arranjos de pagamento e correspondentes bancários. O escopo de aplicação é determinado pela autorização do Bacen, não pelo porte ou modelo de negócio da instituição. Fintechs de menor porte devem implementar a política de segurança cibernética de forma proporcional ao seu perfil de risco, mas não estão isentas das obrigações de rastreabilidade documental e gestão de riscos de fornecedores.
Como gerir a tensão entre a retenção de evidências de conformidade e o direito ao apagamento da LGPD?
A LGPD prevê exceções ao direito ao apagamento quando a conservação dos dados é necessária para cumprimento de obrigação legal (art. 16, I). A retenção de documentos de identidade e registros de verificação por cinco anos, exigida pela Lei 9.613/1998 e pela Resolução CMN nº 4.893/2021, enquadra-se nessa exceção. A solução técnica recomendada consiste em separar o armazenamento do dado pessoal do registro da operação de verificação: o dado pessoal pode ser anonimizado ou eliminado após o prazo mínimo de conservação, enquanto o hash criptográfico e os metadados da verificação são retidos como evidência de conformidade sem conter dados pessoais adicionais. Consulte a orientação da ANPD e um profissional jurídico especializado para implementação específica à sua organização.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.