Banco Central endurece requisitos para provedores de TI e eleva barreiras de segurança no sistema financeiro

O Banco Central do Brasil publicou ajustes regulatórios que impõem novas exigências aos provedores de TI que prestam serviços ao Sistema Financeiro Nacional (SFN) e ao Sistema de Pagamentos Brasileiro (SPB). A iniciativa revisa a resolução editada em setembro de 2025, tornando o processo de credenciamento mais estrito e detalhando obrigações de capital, governança, gestão de riscos e comunicação com a autoridade supervisora.

Quem são os provedores de TI no ecossistema financeiro

Os provedores de TI, formalmente chamados de Provedores de Serviços de Tecnologia da Informação (PSTI), constituem empresas contratadas por bancos, cooperativas, instituições de pagamento e demais participantes do sistema para operar plataformas, processar transações e manter integrações com a infraestrutura oficial. Essas organizações conectam seus clientes à Rede do Sistema Financeiro Nacional (RSFN) e, por extensão, ao SPB, possibilitando liquidações via Pix, TED e outros instrumentos de pagamento.

Como o volume de operações digitais cresce continuamente, esses provedores tornaram-se peças centrais no funcionamento cotidiano das instituições. Por esse motivo, o Banco Central passou a tratá-los como elos críticos da cadeia tecnológica e a submetê-los a um regime de autorização semelhante ao aplicado a outros entes regulados.

Capital mínimo reforçado amplia resiliência financeira dos provedores de TI

A nova redação estabelece que o Banco Central pode, “a qualquer momento”, demandar capital social e patrimônio líquido superiores aos valores informados no ato inicial de credenciamento. Esse poder discricionário permite ajustar o requisito de capital de acordo com a complexidade dos serviços prestados, a quantidade de instituições atendidas e o volume financeiro que transita pelas plataformas do provedor.

O reforço de capital busca assegurar que os PSTI disponham de recursos suficientes para absorver perdas, financiar planos de continuidade de negócios e investir em melhorias de segurança cibernética. Além disso, a medida alinha o padrão exigido desses fornecedores ao já aplicado a bancos tradicionais e instituições de pagamento, reduzindo assimetrias regulatórias.

Credenciamento rigoroso eleva o nível de governança dos provedores de TI

O processo de autorização ganhou novos filtros de reputação e capacidade técnica dos administradores. Os currículos dos responsáveis serão avaliados segundo práticas utilizadas em outros segmentos supervisionados, ampliando a checagem de experiência, idoneidade e histórico profissional.

A resolução também introduziu definições explícitas sobre controle acionário. Com isso, a autoridade passa a examinar a estrutura societária com mais profundidade, identificando beneficiários finais e prevenindo conflitos de interesse. Complementarmente, novos mecanismos de análise de conformidade foram adicionados, exigindo que cada provedor apresente evidências de políticas de controles internos já operacionais antes do início da prestação de serviços.

Governança, riscos e relatórios: pilares da nova supervisão

Os provedores de TI ficam obrigados a implementar estrutura de governança corporativa compatível com o porte e a relevância de suas operações. O arcabouço inclui:

• Controles internos: procedimentos formais para monitorar, prevenir e detectar falhas operacionais ou violações de segurança.
• Compliance: sistema de verificação de aderência às normas, com reporte de inconformidades ao Conselho de Administração ou órgão equivalente.
• Relatórios anuais: documento obrigatoriamente encaminhado ao Banco Central, descrevendo práticas de gestão de risco, incidentes ocorridos e ações corretivas.
• Rastreabilidade: obrigação de manter logs que permitam reconstruir a trilha de cada transação e identificar responsáveis em caso de incidentes.

A fiscalização também ganhou instrumentos preventivos adicionais. Entre eles, a possibilidade de adoção de medidas cautelares quando houver ausência prolongada do diretor responsável ou outras situações que ameacem a continuidade segura dos serviços.

Comunicação obrigatória, descredenciamento ágil e medidas cautelares

As mudanças ampliam os eventos que precisam ser comunicados ao regulador. Alterações societárias, substituição de administradores e qualquer circunstância que impacte a capacidade operacional do provedor devem ser notificadas tempestivamente. O descumprimento pode levar ao descredenciamento, cujo rito foi simplificado para acelerar a retirada de fornecedores que apresentem riscos sistêmicos.

Imagem: Internet

Nos casos em que seja necessária intervenção imediata, o Banco Central poderá suspender atividades específicas, limitar transações ou impor outras restrições preventivas. Ao tornar mais claras as hipóteses de ação, a norma fortalece a previsibilidade regulatória e confere agilidade à supervisão.

Contexto de cibersegurança: ataques recentes expõem vulnerabilidades

O aprimoramento das regras ocorre em ambiente de crescente preocupação com fraudes digitais. Na mesma semana da publicação da nova norma, o Banco do Nordeste (BNB) sofreu ataque hacker que resultou na suspensão temporária dos pagamentos via Pix. O incidente envolveu desvio de recursos de uma conta-bolsão, instrumento que agrega valores de múltiplos usuários sem identificação individualizada.

Desde o ano anterior, investidas contra prestadores terceirizados ganharam frequência porque esses agentes são, muitas vezes, alvos mais fáceis do que instituições de grande porte. Ao comprometer sistemas integrados, criminosos conseguem contornar camadas robustas de proteção dos bancos e acessar informações sensíveis ou movimentar valores de forma ilícita.

Dados do próprio Banco Central mostram que o Pix consolidou-se como o principal meio de pagamento do país, o que incentiva investimentos maiores em cibersegurança. Em 2025, a autoridade já havia suspendido do ecossistema de pagamentos instantâneos diversas empresas contratadas por bancos e elevado os padrões mínimos de segurança para instituições de pagamento.

Prazos de adaptação e limites temporários para transações

Para facilitar a transição, o cronograma de implantação das exigências foi estendido de quatro para oito meses. Nesse intervalo, instituições que acessam a RSFN por meio de PSTI continuam sujeitas ao teto de R$ 15 mil por operação via Pix ou TED, conforme as Resoluções BCB 496 e 497. O limite se mantém até que o provedor conclua o novo credenciamento.

A combinação de prazo ampliado e restrição provisória pretende equilibrar segurança e continuidade dos negócios. De um lado, garante-se tempo razoável para ajustes de processos, revisão de contratos e reforço da infraestrutura tecnológica; de outro, mitigam-se riscos operacionais até que cada fornecedor demonstre cumprir plenamente os requisitos.

Objetivo final: estabilidade do sistema financeiro e redução de riscos

Na avaliação do Banco Central, o conjunto de modificações torna os provedores de TI mais preparados para enfrentar ameaças cibernéticas e desempenhar papel crítico no SFN e no SPB. O reforço de capital, a elevação do nível de governança e a ampliação de obrigações de reporte formam um tripé destinado a aumentar segurança, eficiência e transparência.

Com a medida, a autoridade monetária busca diminuir a probabilidade de incidentes que comprometam a liquidação de pagamentos, proteger dados de milhões de usuários e preservar a confiança no ambiente digital que sustenta o Pix e diversas modalidades de transação eletrônica.

O próximo marco regulatório a ser observado é o encerramento do período de adequação de oito meses, quando todos os PSTI deverão ter seus novos credenciamentos avaliados e aprovados pelo Banco Central.

OrganizaSimples

Olá! Meu nome é Zaira Silva e sou apaixonada por tornar a vida mais leve, prática e organizada — especialmente depois que me tornei mãe.
Criei o Organiza Simples como um cantinho acolhedor para compartilhar tudo o que aprendi (e continuo aprendendo!) sobre organização da casa, da rotina e da mente, sem fórmulas impossíveis ou metas inalcançáveis.