Banco Central endurece normas para provedores de TI e eleva exigências de segurança no sistema financeiro

Banco Central revisou a regulamentação que rege os Provedores de Serviços de Tecnologia da Informação (PSTI) conectados ao Sistema Financeiro Nacional (SFN) e ao Sistema de Pagamentos Brasileiro (SPB), elevando o nível de rigor em capital, governança e transparência.

Banco Central estabelece nova base regulatória para provedores de TI

A autoridade monetária brasileira atualizou a resolução originalmente publicada em setembro de 2025, inserindo dispositivos mais específicos sobre credenciamento, manutenção de requisitos e procedimentos de fiscalização. A iniciativa chega em meio a investimentos crescentes em digitalização de serviços bancários e segue a estratégia do Banco Central de proteger a infraestrutura crítica de pagamentos.

Capital social e patrimônio líquido sob vigilância direta do Banco Central

Um dos pontos centrais da revisão normativa recai sobre a solidez financeira dos PSTI. A partir de agora, o regulador poderá demandar, a qualquer tempo, montantes de capital social e patrimônio líquido superiores aos apresentados na fase de credenciamento. Essa prerrogativa busca assegurar reserva financeira compatível com a responsabilidade de operar soluções conectadas à Rede do Sistema Financeiro Nacional (RSFN), pela qual trafegam transações via Pix e TED.

Ao exigir base de capital mais robusta, o Banco Central pretende limitar riscos de continuidade operacional. Caso um provedor sofra interrupções graves ou não disponha de reservas para lidar com incidentes, o impacto pode se espalhar por múltiplas instituições que dependem de sua infraestrutura.

Credenciamento mais rigoroso alinha critérios de reputação e capacidade técnica

A resolução revista amplia as verificações de idoneidade dos administradores e introduz critérios claros sobre controle acionário. A partir de agora, mudanças societárias ou substituições na diretoria devem ser comunicadas ao regulador com celeridade, garantindo rastreabilidade de quem detém influência decisória sobre plataformas integradas ao SFN e ao SPB.

Além de reputação ilibada, os responsáveis técnicos passam a comprovar experiência compatível e domínio de práticas de segurança cibernética. A medida aproxima os PSTI de padrões já aplicados a instituições financeiras tradicionais, reduzindo assimetrias regulatórias entre quem presta o serviço e quem o utiliza.

Governança, compliance e gestão de riscos ganham papel central

Em linha com as propostas internacionais de resiliência operacional, o texto reforça a criação de estruturas formais de governança corporativa. Os provedores devem elaborar relatórios anuais de controles internos, riscos operacionais e cibernéticos, encaminhando-os ao Banco Central. Tais relatórios funcionam como diagnóstico contínuo da maturidade de processos, permitindo atuação preventiva do supervisor.

Outro destaque é a exigência de mecanismos de rastreabilidade, que facilitam a reconstrução de eventos em caso de falhas ou incidentes de segurança. Ao ampliar a visibilidade sobre logs e trilhas de auditoria, a norma busca agilizar investigações e mitigar prejuízos a clientes e instituições.

Descredenciamento, medidas cautelares e comunicação de incidentes

O processo de descredenciamento foi simplificado, tornando-se mais objetivo quando ocorre descumprimento de requisitos. Paralelamente, foram incluídas situações que autorizam medidas preventivas imediatas, como a ausência prolongada do diretor responsável, considerada risco relevante à prestação contínua de serviços.

A ampliação das obrigações de comunicação cobre tanto alterações corporativas quanto incidentes operacionais. Dessa maneira, o regulador passa a receber informações tempestivas, aumentando a capacidade de resposta a falhas que possam comprometer a integridade do sistema de pagamentos.

Prazos de adaptação estendidos para oito meses

Embora as exigências tenham se tornado mais rígidas, o Banco Central duplicou o prazo de adequação: de quatro para oito meses. O período ampliado visa proporcionar transição ordenada, permitindo ajustes graduais em políticas internas, estrutura de capital e processos tecnológicos.

Durante a fase de implementação das novas exigências, permanece o limite de R$ 15 mil por operação Pix ou TED para clientes conectados via PSTI ainda não credenciado nos termos da resolução. A restrição, prevista nas Resoluções BCB 496 e 497, segue válida até a conclusão do procedimento.

Contexto de aumento de ataques cibernéticos e caso recente do Banco do Nordeste

A decisão regulatória ocorre na mesma semana em que o Banco do Nordeste (BNB) suspendeu o Pix após sofrer ataque hacker que desviou recursos de conta-bolsão, conta que agrega valores de diversos usuários sem identificação individual. O incidente reforçou a percepção de que provedores terceirizados podem representar elo vulnerável na cadeia tecnológica financeira.

Relatos de ataques a prestadores de serviços vêm crescendo desde o ano passado, direcionados justamente a sistemas integrados, onde camadas de segurança de instituições de grande porte podem ser contornadas por falhas externas. O endurecimento das regras busca reduzir esse vetor de risco, assegurando que parceiros tecnológicos detenham padrão de proteção equivalente ao dos bancos que atendem.

Relação entre digitalização, expansão do Pix e necessidade de regulação robusta

O avanço do Pix como principal meio de pagamentos no país intensificou o volume de transações intercambiadas por provedores de TI. Consequentemente, as exigências de disponibilidade e segurança tornaram-se ainda mais críticas. Instituições financeiras vêm aumentando investimentos em cibersegurança para acompanhar esse salto, mas a interdependência com terceiros exige que padrões mínimos sejam uniformemente aplicados a toda a cadeia.

Últimas disposições e etapas futuras

Com a resolução em vigor, provedores deverão protocolar planos de adequação dentro do novo cronograma de oito meses. Até lá, limitações de valor transacional continuam e relatórios preliminares de risco passarão a ser enviados ao regulador, preparando terreno para auditorias formais que verificarão a aderência integral aos requisitos fortalecidos.