O Banco Central do Brasil (BC) implementou uma série de aprimoramentos significativos na regulamentação que rege os Provedores de Serviços de Tecnologia da Informação (PSTI) que operam no Sistema Financeiro Nacional (SFN) e no Sistema de Pagamentos Brasileiro (SPB). As novas diretrizes revisam e atualizam uma resolução anterior, emitida em setembro de 2025, que delineava o processo de credenciamento e as condições de atuação dessas empresas. A iniciativa do Banco Central visa primordialmente aperfeiçoar os dispositivos normativos vigentes, elevando o nível de detalhamento, clareza e objetividade dos requisitos. Essas alterações representam um endurecimento no processo de credenciamento, harmonizando as exigências impostas aos PSTI com as práticas regulatórias já consolidadas em outros segmentos do mercado, buscando fortalecer a segurança e a integridade de um dos pilares mais críticos da infraestrutura financeira do país.
Aprofundamento dos Critérios de Credenciamento e Robustez Financeira
Exigências de Capital Social e Patrimônio Líquido Reforçadas
Uma das mudanças mais impactantes introduzidas pela nova regulamentação confere ao Banco Central a prerrogativa de exigir, a qualquer momento, valores de capital social e patrimônio líquido dos PSTI superiores aos inicialmente apresentados no processo de credenciamento. Esta medida representa um reforço substancial na capacidade financeira esperada dos provedores de TI. O objetivo é claro: garantir que essas empresas possuam uma estrutura financeira robusta o suficiente para suportar operações complexas, investir em infraestrutura de segurança de ponta e, crucialmente, cobrir eventuais responsabilidades ou perdas decorrentes de falhas operacionais ou ataques cibernéticos. A solidez financeira dos PSTI é vista como um pilar fundamental para a estabilidade do sistema como um todo, minimizando riscos de descontinuidade de serviços essenciais e protegendo os usuários finais de eventuais prejuízos. A capacidade de exigir ajustes nesses valores a qualquer tempo confere ao regulador uma ferramenta dinâmica para responder às flutuações do mercado e aos riscos emergentes, assegurando que os provedores mantenham um nível adequado de resiliência financeira.
Aperfeiçoamento dos Requisitos de Credenciamento e Conformidade
Os critérios de credenciamento também foram objeto de ajustes minuciosos, com foco especial na reputação e capacidade técnica dos administradores dos PSTI. Essas exigências foram alinhadas às práticas observadas em outros setores altamente regulados, refletindo a necessidade de ter à frente dessas operações profissionais com histórico impecável e expertise comprovada em tecnologia da informação e segurança. A integridade e competência dos líderes são consideradas essenciais para a gestão eficaz de riscos complexos inerentes ao setor. Adicionalmente, a regulamentação introduziu definições mais precisas sobre o controle acionário das empresas, visando maior transparência sobre a verdadeira estrutura de propriedade e quem detém o poder de decisão. Complementarmente, novos mecanismos de análise de conformidade foram implementados. Essas ferramentas permitem ao Banco Central realizar uma verificação mais aprofundada da aderência dos PSTI às normas e boas práticas, tanto no momento do credenciamento quanto de forma contínua. A intenção é coibir a atuação de empresas ou indivíduos que possam representar riscos à segurança e à integridade do Sistema Financeiro Nacional, garantindo que apenas provedores plenamente qualificados e transparentes atuem no mercado.
Fortalecimento da Governança, Gestão de Riscos e Prontidão Regulatória
Governança Corporativa e Gestão de Riscos Aprimoradas
A nova resolução do Banco Central eleva significativamente as exigências relacionadas à governança corporativa, aos controles internos e ao compliance dos PSTI. Esta é uma área crítica, pois uma governança sólida é o alicerce para a gestão eficaz de todos os outros riscos, incluindo os operacionais e cibernéticos. Os provedores de TI agora são obrigados a elaborar relatórios anuais detalhados que evidenciem suas políticas, processos e resultados em governança e gestão de riscos, proporcionando ao BC uma visão clara de suas práticas. Além disso, a norma impõe a adoção de mecanismos robustos de rastreabilidade para todas as operações e acessos aos sistemas críticos. Essa rastreabilidade é fundamental para a auditoria, a detecção de anomalias e, em caso de incidentes de segurança, a investigação forense. A capacidade de reconstruir eventos e identificar as causas e os responsáveis por falhas ou ataques é um componente essencial para a mitigação de danos e para a melhoria contínua dos sistemas de segurança. Com essas medidas, o Banco Central busca incutir uma cultura de responsabilidade e proatividade na gestão de riscos, tornando os PSTI verdadeiros guardiões da segurança das informações e operações financeiras.
Processos de Descredenciamento e Comunicação ao Banco Central Acelerados
Em um esforço para tornar o sistema mais ágil e responsivo a situações de não conformidade, os procedimentos para descredenciamento de PSTI foram simplificados. A intenção é que o processo seja mais objetivo e rápido, permitindo ao Banco Central agir com celeridade diante de descumprimentos regulatórios ou de situações que representem um risco iminente à estabilidade do sistema financeiro. A capacidade de remover rapidamente um provedor problemático é crucial para proteger as instituições financeiras e seus clientes. Paralelamente, houve uma ampliação das obrigações de comunicação dos PSTI ao Banco Central. As empresas agora devem reportar prontamente alterações societárias, como mudanças na composição acionária ou na estrutura de controle, bem como a substituição de administradores. Essa exigência assegura que o BC mantenha um panorama atualizado sobre a gestão e a propriedade dos provedores, permitindo uma avaliação contínua de riscos e a tomada de decisões informadas. A transparência e a agilidade na comunicação são essenciais para a supervisão eficaz e para a manutenção da confiança no sistema.
Medidas Cautelares e Período de Adaptação Concedido
A nova regulamentação também prevê a inclusão de novas hipóteses que autorizam o Banco Central a adotar medidas preventivas e cautelares. Um exemplo notável é a possibilidade de intervenção em casos de ausência prolongada de um diretor responsável por áreas críticas, garantindo que a gestão e a supervisão das operações permaneçam sempre ativas e qualificadas. Essas medidas visam permitir que o regulador atue proativamente para mitigar riscos potenciais antes que se concretizem em falhas ou incidentes maiores. Reconhecendo a complexidade das mudanças e a necessidade de tempo para a adaptação, o Banco Central ampliou o período para implementação das novas regras de quatro para oito meses. Esta extensão visa proporcionar uma transição mais segura e previsível para os PSTI e para as instituições financeiras que deles dependem, minimizando interrupções e permitindo que todos se adequem plenamente sem pressa indevida. Contudo, durante esse período de adaptação, as instituições que se conectam à Rede do Sistema Financeiro Nacional (RSFN) por meio de PSTI ainda não credenciados ou em processo de adequação continuam sujeitas a limites transacionais específicos, como o teto de R$ 15 mil por transação via Pix e TED, conforme resoluções anteriores. Esta medida interina sublinha a seriedade e a prioridade dadas à segurança enquanto o processo de credenciamento e adaptação é concluído, garantindo que o sistema permaneça protegido.
Resposta a um Cenário de Ameaças Cibernéticas Crescentes
A decisão do Banco Central de intensificar a regulamentação dos PSTI não é um evento isolado, mas uma resposta estratégica e necessária a um cenário de ameaças cibernéticas cada vez mais sofisticadas e frequentes. Provedores de serviços terceirizados, embora essenciais para a operação e inovação das instituições financeiras, representam, por vezes, um elo potencialmente mais vulnerável na robusta cadeia tecnológica do setor. Criminosos cibernéticos têm explorado essa fragilidade, buscando contornar as camadas de proteção mais complexas dos grandes bancos ao mirar em sistemas integrados de provedores menores ou com menos recursos de segurança. Casos recentes de ataques a instituições financeiras, onde plataformas como o Pix foram afetadas e recursos foram desviados, evidenciam a urgência e a pertinência dessas novas regras. Tais incidentes destacam a necessidade de uma supervisão regulatória abrangente que se estenda a todos os componentes que interagem com o sistema financeiro central, garantindo que a segurança seja uma prioridade em toda a cadeia de valor. O crescimento exponencial do Pix como principal meio de pagamento no país e a digitalização acelerada dos serviços financeiros também impulsionam a necessidade de um sistema mais seguro. O volume e a velocidade das transações digitais exigem infraestruturas de TI e protocolos de segurança impecáveis. Nesse contexto, o aprimoramento das regras atua como uma barreira protetora adicional, fortalecendo a segurança, a eficiência e a transparência na atuação dos PSTI. O objetivo final é construir um ambiente mais confiável, reduzir riscos operacionais e cibernéticos, e garantir a estabilidade duradoura do sistema financeiro e de pagamentos do país, protegendo tanto as instituições quanto os milhões de usuários que confiam em suas operações diárias.
