O Banco Central (BC) implementou significativas alterações na regulamentação dos provedores de serviços de tecnologia da informação (PSTI) que operam no Sistema Financeiro Nacional (SFN) e no Sistema de Pagamentos Brasileiro (SPB). As mudanças, que ajustam uma resolução previamente editada em setembro de 2025 sobre o credenciamento e a atuação dessas empresas, visam aprimorar os dispositivos normativos vigentes. O objetivo central é tornar os requisitos mais completos, claros e objetivos, além de elevar o rigor do processo de credenciamento, alinhando as exigências para os PSTI às práticas já consolidadas em outros segmentos regulados. Esta iniciativa estratégica busca fortalecer a integridade e a segurança do ecossistema financeiro do país.
Novas exigências para o credenciamento e atuação
As alterações promovidas estabelecem um novo patamar de exigências para os provedores de serviços de tecnologia da informação, impactando diversas frentes de sua operação e relacionamento com as instituições financeiras. O foco é garantir que esses elos críticos do sistema tenham a robustez necessária para suportar a crescente digitalização e os desafios de segurança.
Capital social e patrimônio líquido
Uma das mudanças mais notáveis confere ao Banco Central a prerrogativa de solicitar, a qualquer momento, valores de capital social e patrimônio líquido superiores aos apresentados no credenciamento inicial de um PSTI. Esta medida busca reforçar a capacidade financeira dos provedores, assegurando que possuam recursos adequados para investir em infraestrutura, segurança e para arcar com eventuais responsabilidades. A intenção é mitigar riscos de instabilidade financeira que poderiam repercutir na qualidade e continuidade dos serviços prestados ao SFN e SPB. A flexibilidade para exigir valores adicionais demonstra uma postura proativa na avaliação da solidez das empresas terceirizadas.
Requisitos de credenciamento aprimorados
Houve um ajuste fino nos critérios de reputação e capacidade técnica dos administradores dos PSTI, que agora estão mais alinhados às exigências de outros setores regulados. Isso implica uma análise mais aprofundada do histórico e da expertise dos líderes das empresas. Além disso, a norma inclui novas definições sobre controle acionário, visando maior transparência sobre a estrutura societária dos provedores. Novos mecanismos de análise de conformidade também foram incorporados, permitindo uma verificação mais rigorosa da aderência dos PSTI às regulamentações e boas práticas de mercado desde a fase de credenciamento. O aprimoramento desses requisitos é fundamental para garantir que apenas empresas idôneas e tecnicamente qualificadas atuem no sistema.
Governança e gestão de riscos
A nova regulamentação intensifica as exigências de governança corporativa, controles internos e compliance para os PSTI. As empresas passam a ter a obrigação de elaborar relatórios anuais detalhados sobre suas práticas de gestão, além de adotar mecanismos de rastreabilidade para todas as operações e dados críticos. Essa medida visa aumentar a transparência e a responsabilidade, permitindo que o Banco Central e as instituições financeiras clientes monitorem de perto a conformidade e a eficácia das políticas de segurança e gestão de risco dos provedores. A maior clareza sobre processos e a capacidade de rastrear operações são essenciais para prevenir fraudes e incidentes.
Descredenciamento simplificado
Os procedimentos para o descredenciamento de PSTI foram simplificados, tornando o processo mais objetivo e ágil em situações de descumprimento das regras. Essa agilidade é crucial para a proteção do sistema financeiro, permitindo uma resposta rápida a provedores que não se adequam às exigências ou que representem riscos. A possibilidade de remover rapidamente do sistema empresas que falham em suas obrigações fortalece a integridade de toda a cadeia de serviços, enviando uma mensagem clara sobre a seriedade das novas normas.
Prestação de informações ao BC
As obrigações de comunicação dos PSTI ao Banco Central foram significativamente ampliadas. Agora, as empresas devem informar prontamente alterações societárias e substituições de administradores, entre outras mudanças relevantes em sua estrutura ou gestão. Essa ampliação da prestação de informações garante que o órgão regulador tenha uma visão contínua e atualizada da situação de cada provedor, facilitando a fiscalização e a manutenção da conformidade em tempo real. A transparência informacional é um pilar para a supervisão eficaz.
Medidas cautelares reforçadas
Foram incluídas novas hipóteses que autorizam o Banco Central a adotar medidas preventivas e cautelares. Por exemplo, a ausência prolongada de um diretor responsável passa a ser um motivo para a intervenção do BC. Essas medidas visam proteger o sistema financeiro de riscos emergentes ou da inação de provedores, garantindo a continuidade e a segurança dos serviços mesmo diante de falhas de gestão ou de eventos inesperados. A capacidade de agir preventivamente é um diferencial na mitigação de crises.
Prazo de adaptação estendido
Para permitir uma transição mais segura e previsível, o período de adaptação para a implementação das novas regras foi ampliado de quatro para oito meses. Esse prazo estendido reconhece a complexidade das mudanças e oferece aos PSTI o tempo necessário para ajustar seus processos, sistemas e estruturas de governança sem comprometer a estabilidade de suas operações ou a continuidade dos serviços prestados. Durante esse período, as instituições que se conectam à Rede do Sistema Financeiro Nacional (RSFN) por meio de PSTI continuam sujeitas ao limite de R$ 15 mil por transação via Pix e TED, conforme resoluções anteriores, até a conclusão do credenciamento do provedor.
O contexto por trás do endurecimento das normas
As recentes alterações regulatórias não surgem isoladas, mas em um cenário de crescentes desafios à segurança cibernética e de uma evolução contínua dos meios de pagamento digitais no Brasil. O sistema financeiro tem sido alvo frequente de ataques sofisticados, e a interconexão com provedores de tecnologia se revelou um ponto crucial para vulnerabilidades.
Vulnerabilidade e ataques cibernéticos
Prestadores de serviços terceirizados têm se tornado, desde o ano passado, um elo potencialmente mais vulnerável na cadeia tecnológica do sistema financeiro. Criminosos cibernéticos têm explorado falhas em sistemas integrados, permitindo contornar as robustas camadas de proteção que os grandes bancos investem. Essa estratégia permite que os atacantes acessem ambientes que, embora indiretamente ligados às instituições financeiras, processam dados sensíveis ou controlam fluxos operacionais importantes. O reconhecimento dessa vulnerabilidade pelos reguladores é o motor principal para o reforço das normas de segurança.
O incidente do Banco do Nordeste
A decisão de endurecer a regulação coincide com um incidente notável: o ataque hacker sofrido pelo Banco do Nordeste (BNB). O episódio resultou na suspensão temporária do Pix pela instituição, após o desvio de recursos de uma “conta-bolsão”. Este tipo de conta, que agrupa recursos de múltiplos usuários sem identificação individualizada, foi explorado pelos criminosos, evidenciando como a segurança em toda a cadeia de pagamentos é fundamental. O caso do BNB serve como um lembrete vívido dos riscos operacionais e financeiros associados a falhas de segurança e da urgência em fortalecer as defesas de todos os participantes do sistema.
Reforço na cibersegurança e o Pix
O reforço na regulação se insere em um contexto mais amplo de aumento dos investimentos em cibersegurança por parte das instituições financeiras. Este impulso é catalisado tanto pela intensa digitalização dos serviços bancários quanto pelo crescimento exponencial do Pix, que se consolidou como o principal meio de pagamento do país. O volume e a velocidade das transações via Pix exigem um ambiente de segurança impecável. No ano anterior, o Banco Central já havia tomado medidas enérgicas, suspendendo diversas empresas que atuavam com Pix para bancos e endurecendo as regras de segurança para instituições de pagamento. As novas regras para PSTI são mais um passo nessa direção contínua de fortificação do ambiente digital financeiro.
Aprimoramento para a segurança e estabilidade do sistema
O aprimoramento das regras é uma medida estratégica para fortalecer a segurança, a eficiência e a transparência na atuação dos provedores de serviços de tecnologia da informação. A expectativa é que essas mudanças contribuam para a construção de um ambiente financeiro mais confiável, com uma significativa redução de riscos operacionais e cibernéticos. Em última análise, a iniciativa visa garantir uma maior estabilidade do sistema financeiro e de pagamentos do país, protegendo tanto as instituições quanto os usuários finais contra ameaças cada vez mais sofisticadas.
Para se manter atualizado sobre as implicações dessas e outras regulamentações no cenário financeiro nacional, acompanhe nossas próximas análises sobre o impacto dessas mudanças no ecossistema financeiro.
