Uma das vertentes da Moliner Sociedade de Advogados é o Regulatório de Meios de Pagamento e de Instituições Financeiras, sendo assim, acompanhamos de perto cada movimento que impacta nosso sistema financeiro.
As recentes publicações da Resolução BCB nº 498, de 5 de setembro de 2025, e da Instrução Normativa BCB nº 664, de 11 de setembro de 2025, representam um marco regulatório substancial para os Provedores de Serviços de Tecnologia da Informação (PSTIs). Essas normas não são apenas mais uma camada de burocracia; são um chamado à ação urgente, redefinindo as regras do jogo e elevando o padrão de segurança e governança para todos que operam na Rede do Sistema Financeiro Nacional (RSFN).
É imperativo que os PSTIs – as entidades credenciadas para prestar serviços de processamento de dados para acesso à RSFN – compreendam o impacto dessas mudanças, especialmente diante dos prazos apertadíssimos que já estão correndo. Meu objetivo aqui é desmistificar essas normas, traçando um caminho claro para a conformidade e, mais importante, transformando o que pode parecer um desafio em uma verdadeira oportunidade estratégica.
A Resolução BCB nº 498/2025 é a base dessa nova estrutura, seu foco é claro: segurança da informação, segurança cibernética, gestão de riscos e governança.
Para um PSTI, a conformidade começa no credenciamento, que exige uma série de requisitos robustos, incluindo:
• Adesão aos princípios e regras da RSFN.
• Comprovação de capacidade técnico-operacional.
• Designação de diretores responsáveis pela segurança da informação, segurança cibernética, gestão de riscos, compliance e gestão de crises operacionais, com comprovada capacidade técnica.
• Capital social realizado e patrimônio líquido mínimo de R$15 milhões, podendo o Banco Central exigir montante superior conforme o perfil de risco.
• Mecanismos de governança corporativa e gestão de riscos.
• Certificação de segurança da informação em norma internacionalmente reconhecida ou asseguração independente aceita pelo Bacen.
• Auditoria externa anual independente em segurança da informação (e, se aplicável, em PLDFT).
• Seguro de responsabilidade civil e de riscos operacionais, cobrindo fraudes e incidentes cibernéticos.
• Plano de Continuidade de Negócios e testes periódicos de contingência.
É fundamental notar que a comprovação desses requisitos deve ser feita anualmente para manter o credenciamento. O descumprimento pode levar ao descredenciamento.
Governança Corporativa e Gestão de Riscos: A Espinha Dorsal da Conformidade
A Resolução se aprofunda na necessidade de uma estrutura de governança corporativa compatível com a natureza e porte do PSTI. Isso implica em:
• Segregação de funções entre gestão executiva, gerenciamento de riscos, compliance, segurança da informação e auditoria interna para evitar conflitos de interesse.
• Políticas formais de governança corporativa, gestão de riscos, segurança cibernética, compliance, auditoria interna e continuidade de negócios, aprovadas e revisadas anualmente.
• Diretores específicos para as áreas de Segurança da Informação e Cibernética, Riscos e Compliance, Relacionamento com o Banco Central do Brasil, e Gestão de Crises Operacionais.
Dentre as políticas obrigatórias, destaco as de Segurança da Informação e Cibernética (Art. 16 e 17) e Gestão de Fraudes (Art. 24 e 25), que são o coração das novas exigências e onde a Instrução Normativa BCB 664/2025 atua diretamente.
As Exigências Detalhadas de Segurança e Fraude:
A Política de Segurança da Informação e Cibernética deve contemplar uma série de mecanismos, incluindo:
• Rastreabilidade de transações com trilhas de auditoria fim-a-fim, logs para identificar falhas ou comportamentos atípicos, definição de tempo de retenção e retenção segura, e acesso a essas trilhas para as instituições contratantes.
• Controle de acesso com limitação à rede corporativa, revisão periódica de permissões (especialmente para terceirizados) e múltiplos fatores de autenticação para acessos externos e administrativos aos ambientes Pix e STR.
• Gestão de certificados digitais, monitorando o uso e a guarda das informações, além de validar certificados revogados.
• Ações de inteligência cibernética, como o monitoramento de informações de interesse (clientes, chaves, credenciais, vulnerabilidades) na internet, Deep Web, Dark Web e grupos de comunicação privados.
• Mecanismos de proteção da rede, com regras de firewall, monitoramento de conexões (inclusive em horários não convencionais), identificação de conexões indevidas e tratamento de eventos atípicos como abertura de VPNs ou tentativas de acesso privilegiado.
• Isolamento físico e lógico dos ambientes Pix e STR dos demais sistemas, com instâncias dedicadas em nuvem pública.
Já a Política de Gestão de Fraudes é igualmente abrangente, exigindo:
• Canais para reporte de indícios de fraudes.
• Mecanismos de prevenção, como disponibilização de dados para conciliação, acesso a trilhas de auditoria e definição de limites operacionais.
• Monitoramento em tempo integral (24/7) para identificar transações atípicas ou fraudulentas em tempo real, avaliando valores, volumes e frequência.
• Avaliação de atipicidades antes do encaminhamento da transação ao Banco Central.
• Validação da integridade das transações durante o processamento.
• Mecanismo de interrupção do fluxo de transações em caso de grave suspeita.
• Comunicação tempestiva de indícios de fraude às instituições impactadas.
Transparência e Monitoramento: O Bacen de Olho
Os PSTIs também têm a obrigação de prestar diversas informações ao Banco Central, incluindo demonstrações financeiras anuais, certificações, alterações societárias, incidentes operacionais/de segurança (imediatamente após a ciência e com relatório em 10 dias), e relatórios de auditoria. O Bacen, por sua vez, monitorará ativamente os serviços prestados.
Em caso de incidentes operacionais, tecnológicos, de segurança, deficiências de controles ou descumprimento das obrigações, o Banco Central poderá adotar medidas cautelares severas. Essas medidas podem incluir limites operacionais mais restritivos, suspensão da conexão à RSFN (total ou parcial), exigência de auditoria independente extraordinária e até a execução do plano de saída ordenada. É crucial entender que essas medidas são preventivas e não substituem o processo de descredenciamento.
Por fim, é vital lembrar que as instituições financeiras e demais supervisionadas pelo Bacen também têm responsabilidades ao contratar um PSTI. Devem assegurar que os contratos contemplem as obrigações da Resolução, monitorar continuamente o PSTI, implementar controles de segurança e comunicar imediatamente ao Bacen quaisquer falhas relevantes.
Se a Resolução BCB nº 498/2025 estabelece o “o quê”, a Instrução Normativa BCB nº 664/2025 estabelece o “quando” para os PSTIs que já estavam em funcionamento na data de entrada em vigor da Resolução BCB nº 498. E o “quando” é agora.
Essa IN regulamenta os artigos 19 e 27 da Resolução, detalhando prazos e medidas técnicas obrigatórias.
Prazos Críticos e Obrigações Imediatas:
Os PSTIs já em operação precisam agir com extrema rapidez:
• Em até 15 (quinze) dias contados da entrada em vigor da IN BCB nº 664/2025, os PSTIs devem implementar aspectos específicos da política de segurança da informação previstos no art. 17 da Resolução BCB nº 498/2025. Isso inclui:
◦ Rastreabilidade de transações: trilhas de auditoria, logs, retenção segura e acesso para fins de conciliação ou gestão de riscos.
◦ Controle de acesso: limitar acesso à rede corporativa, revisão periódica de permissões (especialmente terceirizados) e múltiplos fatores de autenticação para acesso externo e administrativo aos ambientes Pix e STR.
◦ Gestão de certificados digitais: monitoramento do uso e da guarda, validação de certificados revogados.
◦ Ações de inteligência cibernética: monitoramento de informações de interesse na Internet, Deep e Dark Web, e grupos privados de comunicação.
◦ Mecanismos de proteção da rede: regras de firewall, monitoramento de conexões (em especial noturno ou não convencional), identificação de conexões indevidas e tratamento de eventos atípicos (VPNs, acessos privilegiados).
• Em até 30 (trinta) dias contados da entrada em vigor da IN BCB nº 664/2025, os PSTIs devem:
◦ Implementar os demais aspectos da política de segurança da informação previstos no art. 17 da Resolução BCB nº 498/2025 que não foram contemplados no prazo de 15 dias.
◦ Implementar a política de gestão de fraudes de que tratam os arts. 24 e 25 da Resolução BCB nº 498/2025.
O Relatório de Asseguração Razoável: A Prova da Conformidade
Após a implementação dessas medidas, o PSTI deve encaminhar um relatório de asseguração razoável. Este relatório, elaborado por uma firma de auditoria independente devidamente registrada na CVM, deve atestar o atendimento integral de todos os procedimentos, requisitos e prazos previstos na Instrução Normativa. Este documento é crucial e deve ser enviado ao Banco Central do Brasil em até 15 (quinze) dias após a implementação das medidas.
O descumprimento dos prazos ou das exigências pode sujeitar o PSTI às medidas cautelares do Art. 32 da Resolução BCB nº 498/2025.
O Impacto Transformador para o seu PSTI: Desafios e Oportunidades
É inegável que essas normas representam um desafio considerável para muitos PSTIs. Os prazos curtor para adaptação exigem uma mobilização imediata e coordenada. A complexidade dos requisitos técnicos, de governança e de segurança demandará investimentos substanciais em tecnologia, processos e, principalmente, em capital humano qualificado.
No entanto, vejo essas mudanças como uma oportunidade ímpar.
1. Elevação do Padrão de Mercado: O Banco Central está, com razão, elevando a barra. Isso fortalece a integridade e a confiança na RSFN e nos arranjos de pagamento. Para os PSTIs, estar em conformidade não é apenas uma obrigação, é um atestado de excelência e confiabilidade.
2. Mitigação de Riscos Sistêmicos: Ao endereçar a segurança da informação, a cibersegurança e a gestão de fraudes de forma tão detalhada, o regulador busca prevenir riscos operacionais, fraudes e vulnerabilidades que poderiam comprometer todo o sistema. Os PSTIs que se adaptarem estarão contribuindo ativamente para essa resiliência.
3. Diferencial Competitivo: Aqueles que conseguirem se adequar de forma ágil e robusta sairão na frente. A conformidade não será um custo, mas um investimento estratégico que diferencia seu PSTI no mercado, construindo confiança com clientes e parceiros.
4. Otimização Interna: O processo de adequação forçará uma revisão profunda de processos internos, governança e tecnologia, resultando em operações mais eficientes e seguras a longo prazo.
Como Estar em Conformidade e Garantir Seu Futuro
Diante da urgência e da complexidade, a estratégia é clara:
• Diagnóstico Rápido: Realize um levantamento imediato das suas práticas e sistemas atuais em comparação com cada item das Resolução BCB nº 498 e IN BCB nº 664. Onde estão as lacunas?
• Plano de Ação Detalhado e Priorizado: Com prazos de 15 e 30 dias, a priorização é tudo. Crie um plano de ação claro, com responsáveis, cronogramas e recursos alocados para cada etapa.
• Equipe Multidisciplinar: A conformidade não é apenas um problema de TI ou jurídico. Envolva equipes de tecnologia, segurança da informação, jurídico, compliance e gestão de riscos.
• Investimento em Tecnologia e Processos: Esteja preparado para investir em ferramentas de segurança avançadas, automação de logs, sistemas de monitoramento 24/7 e processos bem definidos para gestão de incidentes e fraudes.
• Contratação de Auditoria Independente: pode ser uma boa opção para localizar falhas, neste momento em que o tempo conta.
O Momento da Ação é Agora
As novas normas do Banco Central para PSTIs são um divisor de águas. Elas exigem uma postura proativa e um compromisso inabalável com a segurança e a governança. Para os PSTIs, não se trata apenas de cumprir uma regra, mas de proteger a si mesmos, seus clientes e a integridade do sistema de pagamentos brasileiro.
Nosso escritório está preparado para ser seu parceiro estratégico nessa jornada. Podemos auxiliar na interpretação detalhada das normas, na revisão e elaboração de políticas internas, na preparação para as auditorias e na construção de um plano de conformidade robusto que não apenas atenda às exigências regulatórias, mas também reforce sua posição como um PSTI seguro e confiável no mercado.
Entre em contato e vamos conversar sobre como podemos garantir que seu PSTI não apenas cumpra os requisitos, mas prospere neste novo cenário regulatório. O futuro da segurança do nosso sistema de pagamentos está sendo construído agora, e os PSTIs que agirem com estratégia serão protagonistas.
