Caminhos de uso de serviços em nuvem de empresas financeiras ampliados... restrições de SaaS na rede interna permitidas

As instituições financeiras têm um caminho mais amplo para usar softwares baseados na nuvem em suas redes internas de negócios. Com a conclusão, em 20 de abril de 2026, das revisões nas regras de supervisão financeira eletrônica, softwares de suporte às operações administrativas e de escritório que atendam a certos requisitos de segurança podem ser utilizados na rede interna, mesmo sem a necessidade de uma revisão separada de serviços financeiros inovadores.

Anteriormente, o setor financeiro sempre separou estritamente a internet externa e a rede de negócios interna, de acordo com as regulamentações de isolamento de rede da Lei de Transações Financeiras Eletrônicas. Essa é uma mecanismo para prevenir ataques de hackers e vazamentos de informações, mas também se tornou uma limitação para a aplicação de ferramentas colaborativas baseadas na nuvem ou tecnologias de inteligência artificial de última geração nos negócios. A revisão, em certa medida, relaxa essa restrição, podendo ser vista como um ajuste de política que busca equilibrar eficiência de trabalho e segurança.

No entanto, nem todas as exceções são totalmente permitidas. Quando as instituições financeiras lidam com informações de identificação única de usuários ou informações de crédito pessoal, a regra de isolamento de rede não se aplica. Essa medida visa indicar que, para informações sensíveis com alto risco de vazamento pessoal, a abordagem continuará sendo rigorosa, como antes. Além disso, no uso de informações fictícias, também será necessário passar pelo procedimento designado para serviços financeiros inovadores, como no passado. Ou seja, embora a porta esteja aberta para colaboração geral e operações administrativas, áreas relacionadas diretamente às informações dos clientes ainda manterão altos padrões regulatórios.

Ao mesmo tempo em que há uma flexibilização regulatória, o controle de segurança será reforçado. As empresas financeiras devem usar apenas SaaS avaliados por órgãos de resposta a incidentes de violação e devem implementar medidas de proteção adicionais nos dispositivos finais que acessam esses serviços. Além disso, a verificação da conformidade com o controle de segurança da informação deve ser realizada a cada seis meses, e os resultados devem ser reportados ao Comitê de Proteção de Informação interno da empresa. Essa medida não é apenas uma flexibilização regulatória, mas também uma exigência de estabelecer um sistema de uso responsável.

As autoridades financeiras esperam que, por meio dessa medida, seja possível promover um ambiente onde informações de negócios, como projetos, agendas, documentos e resultados de reuniões, possam ser compartilhadas em tempo real. Isso beneficiará não apenas a colaboração entre a sede e as filiais domésticas, mas também facilitará a cooperação entre filiais no exterior. Espera-se que isso aumente a produtividade, reduza a carga operacional de TI e padronize os sistemas internos de gestão. O Comitê de Supervisão Financeira explicou que, devido ao aumento da sofisticação dos ataques de hackers e ao avanço na inovação de inteligência artificial, o uso de recursos computacionais de redes externas se tornou crucial, e, portanto, não se pode mais manter o quadro regulatório atual. Essa tendência pode levar a uma expansão futura do escopo de aplicação, incluindo até serviços de inteligência artificial generativa na exceção de isolamento de rede.