Proteção de sistemas e dados sensíveis de participantes de fundos de pensão ganhou destaque no segundo dia do CORE Summit
O segmento de fundos de pensão brasileiro se prepara para um novo ciclo de estratégias e normas direcionadas à segurança cibernética e à privacidade de dados. O anúncio foi feito pela Superintendência Nacional de Previdência Complementar (PREVIC), durante o último dia (25/9) do CORE Summit, evento que aconteceu em São Paulo e foi organizado pelo Coremec (Comitê de Regulação e Fiscalização dos Mercados Financeiro, de Capitais, de Seguros, de Previdência e Capitalização).
A ideia é que as mudanças voltadas à cibersegurança e proteção de dados sensíveis de participantes e assistidos, armazenados e geridos pelas entidades fechadas de previdência complementar (EFPC), sigam um processo de evolução gradual, respeitando a maturidade das entidades, e em constante diálogo e troca de experiências com os demais órgãos do sistema financeiro nacional.
Leonardo Zumpichiatti, diretor de Administração da PREVIC, destacou, durante a sua apresentação no painel O Futuro da Cibersegurança Regulada, que “falar de cibersegurança é falar de uma tecnologia dinâmica, que pode mudar da noite para o dia. Uma rapidez que a Administração Pública, com seus ritos e burocracia, não consegue acompanhar”.
Dentro dessa perspectiva, ele reforça que o primeiro passo “é investir em treinamentos, educação, e autorregulação dentro do mercado. Criar essas diretrizes, mais do que as próprias normas, com princípios que balizam e facilitam o trabalho do setor, sem encarecer os custos de operação, é uma das preocupações e agenda da PREVIC”.
Segurança cibernética
Alinhadas a referências internacionais consagradas, as áreas de Normas e de Fiscalização e Monitoramento da PREVIC têm trabalhado, na concepção de estudos e normativos relacionados à cibersegurança do setor de previdência complementar fechada, com três frameworks: NIST, CIS Controls e ISO 27000. Se valendo, ainda, das diretrizes da Organização Internacional dos Supervisores de Previdência (IOPS), do Programa de Privacidade e Segurança da Informação (PPSI/ MGI) e dos Decretos nºs 11.856/2023 e 12.573/2025, do Governo Federal. O objetivo é utilizar o que há de mais atual na área de segurança digital para aumentar a proteção de sistemas e dados sensíveis geridos pelas EFPC.
James Taylor, coordenador-geral de Tecnologia da Informação da PREVIC e palestrante do painel Visão dos Reguladores, lembra que “quando se fala em previdência complementar fechada, se fala em proteção de ativos trilionários que garantem a aposentadoria de milhões de brasileiros. Assim como a guarda de informações financeiras e pessoais de cada participante. Qualquer vulnerabilidade compromete não apenas a entidade, mas a confiança no próprio modelo previdenciário”.
E completa: “A PREVIC entende que a segurança cibernética não pode ser tratada apenas como uma questão tecnológica. Ela está diretamente ligada à governança, à gestão de riscos e, sobretudo, à confiança de todos os atores do sistema: participantes e assistidos, patrocinadores, instituidores, e ao próprio Estado”.
Fiscalização e monitoramento
A implementação gradual e segura das políticas de cibersegurança nas EFPC é um dos temas em destaque na agenda da PREVIC. A abordagem regulatória busca a evolução por ciclos, sendo a primeira fase de conscientização e autodiagnóstico - para que as entidades possam mensurar suas fragilidades. Após esse momento, a autarquia passará a fazer o acompanhamento por meio da supervisão baseada em riscos, com avaliações periódicas e acompanhamento das políticas de governança (como backup, e restrições de acessos e senhas), e de planos de respostas e incidentes.
O Plano Anual de Fiscalização 2026 (PAF/ PREVIC), contará com a cibersegurança das EFPC como campo da Supervisão Temática para os fundos de pensão dos segmentos S1 e S2, que apresentam o maior porte e complexidade dentro do sistema fechado.
Fonte: Previc, em 26.09.2025.