The Coaf has issued Ordinance No. 5, establishing a formal governance framework for its use of software and cloud computing services. However, the ordinance is notable for its omissions, as it fails to define criteria for choosing cloud providers, requirements for data localization, or a position on using international providers or national public infrastructure.
The main topics covered are the new governance ordinance, its significant regulatory gaps regarding sensitive financial data, and the Coaf's increasing institutional alignment with the technological policies of the Brazilian Central Bank.
The ordinance sets general principles like data protection and risk mitigation but defers all technical, operational, and contractual details to future internal regulations. This leaves critical policy questions on data sovereignty and provider selection unresolved for the agency handling Brazil's sensitive financial intelligence.
Furthermore, the text makes no mention of existing federal public IT companies, failing to prioritize a government cloud. This regulatory silence is particularly concerning given the highly sensitive nature of the financial intelligence data the Coaf processes and shares internationally.
O Diário Oficial da União traz a nova Portaria nº 5, publicada Conselho de Controle de Atividades Financeiras (Coaf), que trata de uma nova estrutura formal de governança para o uso de software e serviços de computação em nuvem no órgão, responsável pela inteligência financeira do país. Mas o texto chama atenção menos pelo que determina e mais pelo que deixa em aberto. A norma não define critérios para escolha de fornecedores de nuvem, não estabelece exigências sobre localização de dados, não trata da contratação de grandes provedores internacionais e tampouco menciona a utilização de infraestruturas públicas nacionais. A ausência de posicionamento nesses pontos revela uma lacuna relevante em um órgão que lida com informações financeiras altamente sensíveis e que participa de redes internacionais de cooperação contra lavagem de dinheiro.
A Portaria Coaf nº 5/2026 se limita a estabelecer princípios e diretrizes de governança para o uso de soluções tecnológicas e serviços de computação em nuvem. O texto define objetivos como alinhamento estratégico das tecnologias adotadas, proteção de dados pessoais, segurança da informação, continuidade de negócios e mitigação de riscos institucionais e cibernéticos. Também determina que decisões sobre adoção de soluções digitais considerem fatores como classificação da informação, impacto institucional e riscos de dependência tecnológica.
Apesar dessas diretrizes gerais, a norma deixa para regulamentos internos futuros a definição dos aspectos técnicos, operacionais e contratuais que de fato determinariam como a infraestrutura digital do órgão será estruturada. Isso significa que temas centrais para a política tecnológica do Estado como uso de nuvens públicas, adoção de provedores estrangeiros, exigência de armazenamento de dados em território nacional ou eventual priorização de infraestrutura governamental permanecem indefinidos.
Essa lacuna torna-se ainda mais evidente quando se observa que a portaria também não faz qualquer menção às infraestruturas públicas federais existentes. Empresas estatais que operam serviços de tecnologia da informação para o governo, como Serpro, Dataprev e Telebras, não aparecem no texto, nem como referência institucional nem como possíveis alternativas de infraestrutura digital. Em outras palavras, a norma cria a governança do uso de computação em nuvem, mas não define se haverá prioridade para a chamada nuvem pública governamental ou para plataformas operadas por empresas estatais de tecnologia.
Esse silêncio normativo contrasta com o grau de sensibilidade das informações tratadas pelo Coaf. O órgão reúne dados provenientes de comunicações de operações financeiras suspeitas feitas por bancos, corretoras, seguradoras e outras instituições, além de produzir relatórios de inteligência financeira utilizados em investigações de crimes econômicos e de corrupção. Parte dessas informações também circula em redes internacionais de cooperação entre unidades de inteligência financeira, o que torna ainda mais delicada qualquer decisão sobre armazenamento e processamento de dados.
A portaria também chama atenção por um segundo aspecto institucional: a crescente integração da política tecnológica do Coaf com as diretrizes estabelecidas pelo Banco Central do Brasil. O texto cita explicitamente a Estratégia de Uso de Software e de Serviços de Computação em Nuvem do Banco Central, definida pela Resolução BCB nº 454, de 30 de janeiro de 2025. Ao adotar esse documento como referência normativa, o Coaf sinaliza que sua própria governança de tecnologia da informação seguirá os princípios definidos pela autoridade monetária.
Essa vinculação decorre da reorganização institucional ocorrida em 2019, quando o Coaf foi transferido da estrutura do Ministério da Economia para o Banco Central. Embora mantenha autonomia funcional para suas atividades de inteligência financeira, o órgão passou a compartilhar com o BC parte de sua estrutura administrativa e de governança institucional, incluindo políticas de segurança da informação e diretrizes tecnológicas.
A política de computação em nuvem do Banco Central, estabelecida pela Resolução BCB nº 454/2025, segue um modelo de gestão baseado em análise de riscos e governança institucional. O regulamento permite a utilização de serviços de computação em nuvem, inclusive em ambientes externos, desde que sejam observados requisitos rigorosos de segurança, controle e supervisão. Entre esses requisitos estão a necessidade de avaliação prévia de riscos operacionais e cibernéticos, manutenção de planos de continuidade de negócios, garantia de rastreabilidade de operações e capacidade de portabilidade de dados entre provedores.
O objetivo dessa abordagem é permitir o uso de tecnologias de nuvem sem comprometer a estabilidade institucional ou a segurança de informações sensíveis. Para isso, o Banco Central estabelece que decisões envolvendo infraestrutura tecnológica devem considerar fatores como impacto regulatório, dependência tecnológica, governança contratual e capacidade de supervisão sobre os serviços prestados por fornecedores externos.
Ao incorporar esses princípios em sua própria governança, o Coaf passa a operar dentro do mesmo modelo regulatório adotado pelo Banco Central. A nova portaria determina que decisões relacionadas ao uso de software e computação em nuvem sejam avaliadas por uma instância colegiada interna, o Comitê de Gestão e Governança, responsável por deliberar sobre questões estratégicas como localização de dados, transferência internacional de informações e riscos institucionais relevantes.
Essa estrutura reforça a tendência de que decisões tecnológicas deixem de ser tratadas apenas como escolhas técnicas de infraestrutura e passem a integrar o campo da governança institucional. Em órgãos que lidam com dados financeiros sensíveis e cooperação internacional em inteligência financeira, escolhas sobre armazenamento e processamento de dados têm implicações jurídicas, regulatórias e geopolíticas.
Ainda assim, a portaria do Coaf deixa sem resposta perguntas centrais sobre o futuro da infraestrutura digital do órgão. Ao não estabelecer diretrizes claras sobre fornecedores, localização de dados, contratação de grandes plataformas globais ou uso de infraestruturas estatais de tecnologia, o texto evidencia uma ambiguidade entre o discurso de mitigação de dependência tecnológica e a ausência de parâmetros concretos para orientar essa política.
Nesse cenário, a referência explícita à estratégia tecnológica do Banco Central sugere que a autoridade monetária continuará sendo o principal vetor regulatório para decisões de infraestrutura digital dentro do Coaf. Mais do que uma simples norma interna de tecnologia da informação, a portaria revela como a arquitetura tecnológica do órgão responsável pela inteligência financeira do país tende a se alinhar cada vez mais ao modelo regulatório e institucional definido pelo Banco Central.
Meridiano