O Banco Central do Brasil (BC) publicou ajustes na regulamentação que disciplina o credenciamento e a atuação dos Provedores de Serviços de Tecnologia da Informação (PSTI) conectados ao Sistema Financeiro Nacional (SFN) e ao Sistema de Pagamentos Brasileiro (SPB). A nova norma, que altera resolução editada em setembro de 2025, busca elevar o nível de segurança, transparência e robustez das empresas responsáveis por intermediar serviços de tecnologia para bancos, cooperativas e instituições de pagamento.
Requisitos de capital e governança ficam mais rígidos
Entre as mudanças, o BC instituiu a possibilidade de exigir valores adicionais de capital social e patrimônio líquido a qualquer momento, caso avalie que o montante inicialmente apresentado não seja suficiente para garantir a solidez financeira do provedor. O mecanismo pretende diminuir o risco de quebra ou interrupção dos serviços em situações de stress operacional ou financeiro.
A autarquia também aperfeiçoou critérios de reputação e capacidade técnica dos administradores. A partir de agora, as exigências passam a seguir parâmetros similares aos aplicados a outras entidades reguladas, como bancos e instituições de pagamento. Definições mais claras sobre controle acionário e novos procedimentos de verificação de conformidade foram incluídos no processo de análise de pedidos de credenciamento.
Outro ponto de destaque é o reforço da governança corporativa. A norma determina a elaboração anual de relatórios de controles internos, auditoria e compliance, além da adoção de mecanismos de rastreabilidade de processos. As empresas deverão manter políticas formais de gestão de riscos cibernéticos, operacionais e reputacionais, bem como registrar eventos relevantes para subsidiar eventuais inspeções do BC.
Processos de descredenciamento e medidas cautelares ganham agilidade
O texto simplifica o rito de descredenciamento em casos de descumprimento das regras, tornando a retirada de autorização mais objetiva e célere. Paralelamente, foram ampliadas as hipóteses de aplicação de medidas cautelares, que permitem ao BC intervir preventivamente quando identificar indícios de falhas graves, ausência prolongada de diretor responsável ou risco iminente à continuidade dos serviços.
Em relação à transparência, os PSTI passam a ter obrigações de prestação de informações mais abrangentes. Qualquer alteração societária relevante, mudança de controladores ou substituição de administradores deverá ser comunicada de imediato ao regulador. O objetivo é evitar surpresas que possam comprometer a integridade do ecossistema financeiro.
Prazo de adaptação dobra para oito meses
Para que o setor consiga se adequar sem riscos operacionais, o BC estendeu de quatro para oito meses o período máximo de implementação das novas exigências. Durante a fase de transição, instituições conectadas à Rede do Sistema Financeiro Nacional (RSFN) por intermédio de PSTI continuarão sujeitas ao limite de R$ 15 mil por transação via Pix e TED, conforme as Resoluções BCB 496 e 497, até que o provedor conclua seu credenciamento definitivo.
Imagem: Ultimas Notícias
Ataques cibernéticos pressionam reforço regulatório
A revisão das regras ocorre em meio a um aumento de incidentes de segurança envolvendo prestadores terceirizados. Na mesma semana da publicação da norma, o Banco do Nordeste (BNB) sofreu um ataque hacker que resultou na suspensão temporária do Pix após o desvio de recursos de uma conta-bolsão. Desde 2025, instituições financeiras relatam maior frequência desse tipo de invasão, em que fraudadores exploram vulnerabilidades em sistemas integrados para contornar as defesas dos grandes bancos.
O cenário levou o BC a intensificar a fiscalização de empresas que oferecem soluções tecnológicas para o sistema financeiro. No ano passado, o órgão já havia suspendido do Pix diversas companhias e endurecido os requisitos de segurança para instituições de pagamento. A nova resolução consolida essa postura, alinhando as exigências dos provedores de TI às melhores práticas de cibersegurança e gestão de riscos.
Benefícios esperados para o ecossistema financeiro
De acordo com o Banco Central, o aprimoramento regulatório deve elevar o nível de confiança dos participantes do SFN e do SPB, reduzindo a probabilidade de falhas operacionais e incidentes cibernéticos que possam comprometer a disponibilidade de serviços como Pix, TED e transferências interbancárias. Ao demandar capital adicional e fortalecer mecanismos de governança, a autarquia pretende mitigar riscos sistêmicos e preservar a estabilidade do sistema de pagamentos.
Os provedores de TI, por sua vez, ganham diretrizes mais claras para planejar investimentos em segurança da informação, infraestrutura de dados e continuação de negócios. As instituições financeiras que contratam tais serviços terão base regulatória mais robusta para avaliar a qualidade dos parceiros tecnológicos e, assim, proteger os seus clientes.
O mercado terá oito meses para se adequar às novas obrigações. Após esse período, provedores que não cumprirem integralmente os requisitos ficarão sujeitos a sanções, incluindo advertência, multa e, em casos extremos, descredenciamento.
