O Banco Central endureceu as exigências para empresas que atendem bancos, com alterações nas regras para provedores de serviços de tecnologia da informação, reforço na segurança após ataques recentes e falhas em prestadores terceirizados, e exigências mais rígidas de governança corporativa e gestão de riscos.
Alterações nas regras para provedores de serviços de tecnologia da informação
O Banco Central endureceu as exigências para provedores de serviços de tecnologia da informação que atendem o sistema financeiro e de pagamentos do país. As mudanças foram feitas através da alteração de uma resolução editada em setembro de 2025, com o objetivo de reforçar a segurança após ataques recentes e falhas em prestadores terceirizados.
As alterações afetam os Provedores de Serviços de Tecnologia da Informação (PSTI) que atuam no Sistema Financeiro Nacional (SFN) e no Sistema de Pagamentos Brasileiro (SPB). O Banco Central destacou que as revisões tornam os critérios mais claros, completos e objetivos, alinhando as exigências a padrões já adotados em outros setores regulados.
Uma das principais mudanças permite ao BC exigir, a qualquer momento, valores maiores de capital social e patrimônio líquido, acima do apresentado no credenciamento inicial, visando reforçar a capacidade financeira das empresas que prestam serviços a bancos e instituições de pagamento. Além disso, a norma ajusta os critérios de reputação e capacidade técnica dos administradores, incluindo definições sobre controle acionário e novos mecanismos de análise de conformidade no processo de credenciamento.
As exigências relacionadas à governança corporativa e gestão de riscos se tornaram mais rígidas, com a obrigação de elaboração de relatórios anuais, manutenção de controles internos e adoção de mecanismos de rastreabilidade das operações. O processo de descredenciamento também foi simplificado para tornar os procedimentos mais objetivos e ágeis em casos de descumprimento das regras, com aumento das obrigações de prestação de informações, incluindo a comunicação sobre mudanças societárias e troca de administradores.
A resolução também introduziu novas hipóteses para adoção de medidas cautelares, como em situações de ausência prolongada do diretor responsável. O prazo para adaptação às novas regras foi estendido de quatro para oito meses, ampliando o período de transição. Durante essa fase de adequação, as instituições que se conectam à Rede do Sistema Financeiro Nacional por meio de PSTI continuam limitadas a transações de até R$ 15 mil via Pix, até a conclusão do credenciamento, conforme as Resoluções 496 e 497.
O aumento das exigências regulatórias ocorre em meio ao ataque hacker sofrido pelo Banco do Nordeste, que resultou na suspensão do Pix devido ao desvio de recursos de uma conta-bolsão. O Banco Central destacou que os ataques a prestadores terceirizados aumentaram desde o ano passado, representando uma vulnerabilidade na cadeia tecnológica que pode ser explorada mesmo com proteções robustas nos grandes bancos.
Reforço na segurança após ataques recentes e falhas em prestadores terceirizados
O Banco Central endureceu as exigências para provedores de serviços de tecnologia da informação que atuam no sistema financeiro e de pagamentos do país, com o objetivo de reforçar a segurança após ataques recentes e falhas em prestadores terceirizados.
As mudanças atingem os PSTI que operam no SFN e no SPB, tornando os critérios mais claros, completos e objetivos, alinhando as exigências a padrões já adotados em outros setores regulados.
Uma das principais alterações permite ao BC exigir, a qualquer momento, valores maiores de capital social e patrimônio líquido, acima do apresentado no credenciamento inicial, buscando reforçar a capacidade financeira das empresas que prestam serviços a bancos e instituições de pagamento.
A norma também ajusta os critérios de reputação e capacidade técnica dos administradores, incluindo definições sobre controle acionário e criando novos mecanismos de análise de conformidade no processo de credenciamento.
As exigências de governança corporativa e gestão de riscos ficaram mais rígidas, com os provedores tendo obrigação de elaborar relatórios anuais, manter controles internos e adotar mecanismos de rastreabilidade das operações.
O processo de descredenciamento foi simplificado, tornando os procedimentos mais objetivos e ágeis em casos de descumprimento das regras, e as obrigações de prestação de informações aumentaram, com exigência de comunicação sobre mudanças societárias e troca de administradores.
A resolução inclui novas hipóteses para adoção de medidas cautelares, como em situações de ausência prolongada do diretor responsável, e o prazo para adaptação às novas regras passou de quatro para oito meses, ampliando o período de transição.
Durante a fase de adequação, as instituições que se conectam à RSFN por meio de PSTI seguem limitadas a transações de até R$ 15 mil via Pix, até a conclusão do credenciamento, conforme as Resoluções 496 e 497.
O aperto regulatório ocorre em meio ao aumento de ataques a prestadores terceirizados, como o recente caso do Banco do Nordeste, que levou à suspensão do Pix após um ataque hacker que resultou no desvio de recursos de uma conta-bolsão.
Segundo o BC, os ataques a prestadores terceirizados cresceram desde o ano passado, representando um elo mais vulnerável da cadeia tecnológica, permitindo a exploração de falhas em sistemas integrados, mesmo com proteções robustas nos grandes bancos.
Exigências mais rígidas de governança corporativa e gestão de riscos
O Banco Central (BC) endureceu as exigências para empresas que prestam serviços a bancos, no intuito de reforçar a segurança após ataques recentes e falhas em prestadores terceirizados.
As mudanças atingem os Provedores de Serviços de Tecnologia da Informação (PSTI) que operam no Sistema Financeiro Nacional (SFN) e no Sistema de Pagamentos Brasileiro (SPB).
Uma das principais alterações permite ao BC exigir, a qualquer momento, valores maiores de capital social e patrimônio líquido, acima do apresentado no credenciamento inicial, visando reforçar a capacidade financeira das empresas.
As exigências de governança corporativa e gestão de riscos ficaram mais rígidas, com a obrigatoriedade de elaborar relatórios anuais, manter controles internos e adotar mecanismos de rastreabilidade das operações.
O processo de descredenciamento foi simplificado, tornando os procedimentos mais objetivos e ágeis em casos de descumprimento das regras. As obrigações de prestação de informações também aumentaram.
A resolução inclui novas hipóteses para adoção de medidas cautelares, como em situações de ausência prolongada do diretor responsável. O prazo para adaptação às novas regras foi ampliado de quatro para oito meses.
Durante a fase de adequação, as instituições que se conectam à Rede do Sistema Financeiro Nacional (RSFN) por meio de PSTI seguem limitadas a transações de até R$ 15 mil via Pix, até a conclusão do credenciamento.
O aperto regulatório ocorre em um momento em que ataques a prestadores terceirizados têm crescido, como no recente caso de ataque ao Banco do Nordeste.
Segundo o BC, esses serviços representam um elo mais vulnerável da cadeia tecnológica, o que justifica a necessidade de reforçar as exigências e controles sobre as empresas que atendem bancos e instituições de pagamento.
Novas hipóteses para adoção de medidas cautelares
O Banco Central endureceu as exigências para os provedores de serviços de tecnologia da informação que atendem o sistema financeiro e de pagamentos, com o objetivo de reforçar a segurança após recentes ataques e falhas em prestadores terceirizados.
As mudanças afetam os Provedores de Serviços de Tecnologia da Informação (PSTI) que operam no Sistema Financeiro Nacional (SFN) e no Sistema de Pagamentos Brasileiro (SPB). O BC revisou os critérios, tornando-os mais claros, completos e alinhados a padrões já adotados em outros setores regulados.
Uma das principais alterações permite ao BC exigir, a qualquer momento, valores maiores de capital social e patrimônio líquido acima do inicialmente apresentado. Além disso, a norma ajusta critérios de reputação e capacidade técnica dos administradores, define controle acionário e introduz novos mecanismos de análise de conformidade.
As exigências de governança corporativa e gestão de riscos foram intensificadas, com a obrigação de elaborar relatórios anuais, manter controles internos e adotar mecanismos de rastreabilidade das operações. O processo de descredenciamento foi simplificado para tornar os procedimentos mais objetivos e ágeis em caso de descumprimento das regras.
A resolução também introduz novas hipóteses para adoção de medidas cautelares, como em situações de ausência prolongada do diretor responsável. O prazo para adaptação às novas regras foi estendido de quatro para oito meses, ampliando o período de transição.
Durante o período de adequação, as instituições conectadas à Rede do Sistema Financeiro Nacional por meio de PSTI permanecem limitadas a transações de até R$ 15 mil via Pix, conforme as Resoluções 496 e 497. Essas medidas ocorrem em meio a um cenário de crescentes ataques a prestadores terceirizados, como o recente caso de ataque hacker ao Banco do Nordeste.
O Banco Central destaca que tais serviços representam um elo mais vulnerável na cadeia tecnológica, o que reforça a importância das medidas de segurança e controle implementadas nas novas exigências para os provedores de serviços de tecnologia da informação.
Impacto no setor financeiro
As novas exigências do Banco Central impactarão diretamente o setor financeiro, trazendo maior segurança e transparência nas operações realizadas por meio de provedores de serviços de tecnologia da informação.
A medida visa fortalecer a confiança dos clientes e investidores no sistema financeiro, garantindo a proteção dos dados e recursos financeiros em um ambiente cada vez mais digital e interconectado.
