O Banco Central promoveu ajustes na regulamentação dos Provedores de Serviços de Tecnologia da Informação (PSTI) que atuam no Sistema Financeiro Nacional (SFN) e no Sistema de Pagamentos Brasileiro (SPB). As mudanças alteram uma resolução editada em setembro de 2025 e tornam mais rigorosos os critérios de credenciamento e funcionamento dessas empresas, que prestam serviços tecnológicos a bancos, fintechs e instituições de pagamento.

Segundo o BC, o objetivo é aperfeiçoar pontos da norma vigente, deixando os requisitos mais claros, completos e objetivos, além de alinhar as exigências impostas aos PSTI às práticas já aplicadas a outros setores regulados. A autoridade monetária avalia que as alterações fortalecem a segurança do sistema financeiro em um cenário de crescente digitalização e aumento de ataques cibernéticos.

Entre as principais mudanças, o Banco Central passa a ter a prerrogativa de exigir, a qualquer momento, valores de capital social e de patrimônio líquido superiores aos apresentados no momento do credenciamento inicial. A medida busca garantir maior capacidade financeira dos provedores para suportar riscos operacionais e eventuais incidentes.

Os critérios de credenciamento também foram ajustados. A nova regulamentação reforça a análise da reputação e da capacidade técnica dos administradores, além de trazer definições mais detalhadas sobre controle acionário e incluir novos mecanismos de verificação de conformidade. A intenção é reduzir brechas regulatórias e aumentar a previsibilidade das decisões do BC.

No campo da governança, a norma amplia as exigências relacionadas a controles internos, compliance e gestão de riscos. Os PSTI passam a ter obrigação de elaborar relatórios anuais e adotar mecanismos de rastreabilidade das operações, o que facilita a supervisão e a identificação de falhas ou irregularidades.

Os procedimentos de descredenciamento também foram revistos. O Banco Central optou por simplificar os trâmites, tornando o processo mais objetivo e ágil em casos de descumprimento das regras. Além disso, foram ampliadas as obrigações de prestação de informações à autarquia, incluindo a comunicação de alterações societárias e a substituição de administradores.

Outra novidade é a inclusão de novas hipóteses que autorizam o BC a adotar medidas cautelares. Entre elas, estão situações como a ausência prolongada de diretor responsável, o que pode comprometer a gestão e a segurança das operações.

Para permitir uma transição mais previsível, o prazo de adaptação às novas regras foi ampliado de quatro para oito meses. Durante esse período, as instituições que se conectam à Rede do Sistema Financeiro Nacional (RSFN) por meio de PSTI continuam sujeitas ao limite de R$ 15 mil por transação via Pix e TED, conforme previsto nas Resoluções BCB 496 e 497, até que o credenciamento do provedor seja concluído.

Na avaliação do Banco Central, o conjunto de mudanças fortalece a segurança, a eficiência e a transparência na atuação dos provedores de tecnologia, reduzindo riscos operacionais e cibernéticos e contribuindo para a estabilidade do sistema financeiro e de pagamentos do país.

Elo mais vulnerável

O endurecimento das regras ocorre em um contexto de aumento da atenção sobre prestadores de serviços terceirizados, considerados um elo mais vulnerável da cadeia tecnológica. Nesta semana, o Banco do Nordeste (BNB) foi alvo de um ataque hacker que resultou na suspensão temporária do Pix após o desvio de recursos de uma conta-bolsão, estrutura que concentra valores de diversos usuários sem identificação individual.

Desde o ano passado, ataques direcionados a empresas que prestam serviços a instituições financeiras vêm se tornando mais frequentes. A estratégia tem sido explorada por criminosos para contornar os sistemas de proteção dos grandes bancos, explorando falhas em sistemas integrados de terceiros.

O reforço regulatório acompanha o aumento dos investimentos em cibersegurança no setor financeiro, impulsionado tanto pela digitalização dos serviços quanto pela consolidação do Pix como principal meio de pagamento do país. Em 2025, o Banco Central já havia suspendido do sistema Pix diversas empresas prestadoras de serviços e endurecido as regras de segurança aplicáveis às instituições de pagamento.