O Banco Central (BC) implementou revisões na regulamentação que rege os Provedores de Serviços de Tecnologia da Informação (PSTI) que operam no Sistema Financeiro Nacional (SFN) e no Sistema de Pagamentos Brasileiro (SPB). Essas modificações impactam uma resolução anterior, de setembro de 2025, que estabelecia as diretrizes para o credenciamento e a atuação dessas entidades.
Conforme o BC, o propósito dessa medida é aprimorar as disposições da norma atual, visando tornar os critérios mais abrangentes, transparentes e precisos. As mudanças também visam tornar o processo de credenciamento mais estrito, equiparando as demandas para os PSTI às práticas já em vigor em outras áreas reguladas.
Principais alterações da regulamentação
O Banco Central poderá requerer, a qualquer momento, valores de capital social e patrimônio líquido superiores aos apresentados inicialmente, o que visa fortalecer a solidez financeira dos provedores.
Foram ajustados os critérios de reputação e capacidade técnica dos administradores, em consonância com outros setores regulados, além da inclusão de novas definições sobre controle acionário e mecanismos de análise de conformidade.
A regulamentação intensifica as exigências de governança corporativa, controles internos e conformidade (compliance), estabelecendo a obrigatoriedade de relatórios anuais e a implementação de mecanismos de rastreabilidade.
Os procedimentos foram simplificados, tornando o processo de descredenciamento mais direto e eficiente em casos de descumprimento das regras.
Houve uma expansão das obrigações de comunicação, abrangendo alterações societárias e a substituição de administradores.
Foram adicionadas novas situações que autorizam o Banco Central a aplicar medidas preventivas, como a ausência prolongada do diretor responsável.
Prazo de adaptação
O prazo para a implementação das novas diretrizes foi estendido de quatro para oito meses, proporcionando uma transição mais segura e previsível para as entidades envolvidas.
O Banco Central esclareceu que, ao longo do período de adequação, as instituições financeiras que utilizam PSTI para se conectar à Rede do Sistema Financeiro Nacional (RSFN) permanecerão com o limite de R$ 15 mil para transações via Pix e TED, em conformidade com as Resoluções BCB 496 e 497, até a finalização do credenciamento do provedor.
Para o BC, o aperfeiçoamento dessas regras consolida a segurança, a eficácia e a clareza na operação dos PSTI, fomentando um ecossistema mais seguro, com a diminuição de riscos operacionais e cibernéticos, e promovendo maior estabilidade para o sistema financeiro e de pagamentos nacional.
Ponto de vulnerabilidade
Esta medida foi anunciada na mesma semana em que o Banco do Nordeste (BNB) sofreu um ataque cibernético. O ocorrido resultou na suspensão do Pix pela instituição, após a subtração de fundos de uma conta-bolsão, um mecanismo que agrega recursos de diversos usuários em uma única conta, sem a identificação individual dos proprietários.
Desde o ano anterior, tem-se observado um aumento na frequência de ataques direcionados a provedores de serviços terceirizados no setor financeiro. Estes representam um ponto potencialmente mais frágil na infraestrutura tecnológica, permitindo que criminosos superem as robustas barreiras de segurança dos grandes bancos ao explorar fragilidades em sistemas interconectados.
O endurecimento da regulamentação acontece em um cenário de crescente investimento em cibersegurança pelas instituições financeiras, motivado tanto pela expansão da digitalização dos serviços quanto pela consolidação do Pix como o principal método de pagamento no Brasil.
No ano anterior, o Banco Central já havia excluído do sistema Pix diversas companhias que prestavam serviços a bancos e havia intensificado as normas de segurança para as instituições de pagamento.
Comentários: