Formas de uso de serviços em nuvem por empresas financeiras se expandem... restrições de SaaS na rede interna permitidas

As vias para as instituições financeiras utilizarem softwares baseados na nuvem na rede interna de negócios tornaram-se mais amplas. Com a Comissão Financeira concluindo, em 20 de abril de 2026, as revisões às regras de implementação da regulamentação de supervisão financeira eletrônica, softwares de suporte às operações administrativas e de negócios com requisitos de segurança específicos, ou seja, serviços de software como serviço, podem ser utilizados na rede interna mesmo sem a necessidade de uma revisão separada de serviços financeiros inovadores.

Anteriormente, o setor financeiro sempre operou com uma separação rigorosa entre a internet externa e a rede de negócios interna, de acordo com as regras de isolamento de rede da Lei de Transações Financeiras Eletrônicas. Este mecanismo foi criado para prevenir ataques de hackers e vazamentos de informações, mas também se tornou um obstáculo à aplicação de ferramentas de colaboração baseadas na nuvem ou às tecnologias de inteligência artificial mais recentes nos negócios. A revisão atual, de certa forma, relaxa essas restrições, podendo ser vista como um ajuste de política que busca equilibrar eficiência de trabalho e segurança.

No entanto, nem todas as exceções são totalmente permitidas. Quando as instituições financeiras lidam com informações de identificação única de usuários ou informações de crédito pessoal, a regra de isolamento de rede não se aplica. Essa medida visa indicar que, para informações sensíveis com alto risco de vazamento pessoal, a abordagem continuará sendo rigorosa, como antes. Além disso, no uso de informações fictícias, também será necessário passar pelo procedimento designado para serviços financeiros inovadores, como no passado. Ou seja, embora a abertura para colaboração e operações administrativas seja ampla, áreas relacionadas diretamente às informações dos clientes ainda manterão altos padrões regulatórios.

Ao mesmo tempo em que há uma flexibilização regulatória, o controle de segurança será reforçado. As empresas financeiras devem usar apenas SaaS avaliados por órgãos de resposta a incidentes de violação e devem estabelecer medidas de proteção adicionais para os dispositivos finais que acessam esses serviços. Além disso, a verificação da implementação adequada do controle de segurança da informação deve ser realizada a cada seis meses, com relatórios enviados ao Comitê de Proteção de Informação interno da empresa. Essa medida não visa apenas afrouxar a regulamentação, mas também estabelecer um sistema de uso responsável.

As autoridades financeiras esperam que, por meio dessa medida, seja possível promover um ambiente de compartilhamento em tempo real de informações de negócios, como projetos, agendas, documentos e resultados de reuniões. Isso beneficiará não apenas a colaboração entre a matriz e as filiais domésticas, mas também facilitará a cooperação entre filiais no exterior. Espera-se que isso aumente a produtividade, reduza a carga operacional de TI e padronize os sistemas internos de gestão. A Comissão Financeira explicou que, devido à crescente sofisticação dos métodos de hackers e ao avanço na inovação de inteligência artificial, o uso de recursos computacionais de redes externas se tornou essencial, tornando insustentável manter o quadro regulatório atual. Essa tendência pode levar, no futuro, à ampliação do escopo de aplicação, incluindo até serviços de inteligência artificial generativa na lista de exceções de isolamento de rede.