Novas regras do Banco Central tornam supervisão de provedores de TI mais rígida e ágil
O Banco Central (BC) atualizou a regulamentação que trata dos Provedores de Serviços de Tecnologia da Informação (PSTI) que operam no Sistema Financeiro Nacional (SFN) e no Sistema de Pagamentos Brasileiro (SPB). As alterações, que revisam uma resolução publicada em setembro de 2025, reforçam o controle sobre essas empresas, tornam o processo de credenciamento mais rigoroso e permitem que o BC reaja com maior rapidez a problemas envolvendo tecnologia e segurança.
O que muda para os provedores de TI
De acordo com o BC, os ajustes têm como foco aperfeiçoar os dispositivos já existentes, deixando os requisitos mais completos, claros e objetivos. Na prática, isso significa:
– critérios mais detalhados para avaliação de segurança, continuidade de negócios e governança dos PSTI;
– alinhamento das exigências feitas a provedores de TI àquelas já adotadas em outros segmentos regulados;
– maior capacidade do BC de restringir, suspender ou adequar rapidamente a atuação de um provedor em caso de falhas relevantes, incidentes de segurança ou risco sistêmico.
Ao endurecer o credenciamento, o regulador busca garantir que apenas empresas com controles robustos, processos maduros e capacidade comprovada de gestão de riscos possam atuar em funções críticas do sistema financeiro e de pagamentos.
Prazo maior para adaptação às novas regras
Um dos pontos centrais da revisão foi a ampliação do prazo para implementação das mudanças: de quatro para oito meses. Esse intervalo maior foi definido para permitir uma transição mais segura, reduzindo o risco de interrupções em serviços essenciais.
Com esse período de adaptação, bancos, fintechs, instituições de pagamento e os próprios PSTI conseguem:
– revisar contratos e níveis de serviço;
– ajustar políticas internas de segurança da informação;
– reforçar equipes e ferramentas de monitoramento;
– formalizar planos de contingência e resposta a incidentes em linha com as novas exigências.
Embora o prazo tenha sido estendido, o BC deixa claro que a direção é de maior rigor e que o período extra não significa flexibilização de padrões, mas sim uma adequação mais planejada.
Limites para Pix e TED durante a fase de credenciamento
Enquanto as empresas passam pelo processo de adequação às novas exigências, o Banco Central manteve uma salvaguarda importante. As instituições que acessam a Rede do Sistema Financeiro Nacional (RSFN) por meio de PSTI seguem sujeitas ao limite de 15 mil reais por transação em operações via Pix e TED, conforme normas vigentes, até que o credenciamento do provedor seja concluído.
Esse limite funciona como uma “barreira de contenção” temporária. Se houver falhas de segurança ou incidentes envolvendo um provedor ainda em processo de aprovação definitiva, o impacto financeiro potencial por transação fica restringido, reduzindo o risco de perdas em massa e facilitando a gestão de crises.
Objetivo: mais segurança, eficiência e transparência
Na avaliação do BC, o conjunto de ajustes fortalece a segurança, a eficiência e a transparência na atuação dos provedores de TI que suportam o sistema financeiro. Entre os benefícios esperados estão:
– redução de riscos operacionais, como indisponibilidade de sistemas críticos;
– mitigação de riscos cibernéticos, como invasões, vazamento de dados e fraudes em larga escala;
– aumento da estabilidade do SFN e do SPB, mesmo em cenários de ataques ou falhas sistêmicas;
– maior clareza sobre responsabilidades de cada agente da cadeia tecnológica.
Ao exigir padrões mais elevados de controle, o BC tenta evitar que a terceirização de tecnologia se transforme em um ponto cego na supervisão do sistema financeiro.
Contexto: ataques a terceiros e o elo mais fraco da cadeia
As mudanças vêm em um momento de atenção redobrada à segurança cibernética no país. Na mesma semana do anúncio, o Banco do Nordeste (BNB) foi alvo de um ataque que levou à suspensão temporária do Pix. Criminosos conseguiram desviar recursos de uma conta-bolsão, um tipo de conta que reúne valores de vários usuários em um único registro, sem a identificação individualizada de cada titular.
Esse episódio reforça uma tendência já observada pelo mercado: ataques direcionados a prestadores de serviços terceirizados, que muitas vezes são o elo mais vulnerável da cadeia tecnológica. Em vez de tentar romper diretamente os sistemas dos grandes bancos, que contam com camadas avançadas de proteção, criminosos buscam brechas em:
– provedores de nuvem;
– empresas de processamento de dados;
– integradores de sistemas;
– plataformas de pagamento;
– desenvolvedores de soluções SaaS utilizadas por instituições financeiras.
Ao explorar vulnerabilidades em sistemas integrados, os invasores conseguem, em alguns casos, obter acesso privilegiado a dados e transações, contornando os mecanismos de segurança de quem os contratou. A nova regulação tenta fechar parte dessas brechas, exigindo controles mais rígidos também de quem presta o serviço, e não apenas de quem o consome.
Crescimento do Pix e digitalização elevam a pressão por segurança
O reforço regulatório acontece em paralelo ao aumento dos investimentos em cibersegurança por parte de bancos e instituições de pagamento. A digitalização acelerada de serviços financeiros, somada ao Pix como principal meio de pagamento do país, ampliou a superfície de ataque e o potencial de danos em caso de incidentes.
Mais transações em tempo real, mais integrações entre sistemas, mais uso de APIs abertas e serviços em nuvem significam:
– maior dependência de infraestrutura tecnológica de terceiros;
– necessidade de resposta quase imediata a qualquer anomalia;
– pressão para que interrupções sejam mínimas, sob pena de impactar milhões de usuários ao mesmo tempo.
Dentro desse cenário, o BC já vinha adotando medidas mais duras. No ano passado, suspendeu do sistema Pix diversas empresas que atendiam a bancos, justamente por preocupações com segurança, e elevou os requisitos para instituições de pagamento, incluindo controles mais rigorosos contra fraudes e exigência de planos de contingência.
Por que a agilidade do BC em responder a incidentes importa
Um dos pontos centrais dessas novas regras é possibilitar que o Banco Central aja com mais rapidez em relação aos provedores de TI. Isso significa, por exemplo, poder:
– limitar a atuação de um PSTI em determinados serviços;
– suspender temporariamente conexões a sistemas críticos;
– exigir correções imediatas de vulnerabilidades;
– adequar autorizações conforme o nível de risco observado.
Em incidentes de segurança cibernética, as primeiras horas são decisivas. Uma resposta lenta pode permitir que invasores ampliem o alcance do ataque, extraiam mais dados ou desviem mais recursos. Ao ter instrumentos regulatórios mais claros e objetivos, o BC diminui a margem para interpretações e ganha velocidade para impor medidas de contenção.
Para o usuário final, isso se traduz em maior probabilidade de que falhas sejam rapidamente identificadas, comunicadas e controladas, reduzindo a duração e a gravidade de interrupções como a suspensão de transferências ou pagamentos.
Impactos práticos para bancos, fintechs e provedores de nuvem
Na prática, as instituições financeiras e seus provedores de tecnologia precisarão reforçar:
– contratos com cláusulas específicas de segurança, auditoria e continuidade de negócios;
– processos de due diligence na escolha e na troca de prestadores;
– monitoramento contínuo de desempenho, disponibilidade e incidentes;
– testes periódicos de recuperação de desastres e de resposta a ataques.
Provedores de nuvem e soluções SaaS que atendem o setor financeiro tendem a ser particularmente afetados, pois operam em escala e concentram dados de múltiplas instituições. A exigência de maior transparência sobre arquitetura de segurança, localização de dados, rotinas de backup, criptografia e gestão de acesso deve se intensificar.
Para empresas menores que atuam como PSTI, o desafio será equilibrar o custo de conformidade com a necessidade de manter competitividade. Investimentos em certificações, ferramentas de segurança e profissionais especializados deixam de ser diferencial e passam a ser requisito mínimo.
A importância de tratar o backup e a resiliência como obrigação, não opcional
Um ponto sensível, frequentemente negligenciado, é a ilusão de que a adoção de soluções em nuvem ou SaaS, por si só, garante backup e recuperação de dados. Em muitos modelos de serviço, o provedor assegura apenas a disponibilidade da plataforma, enquanto a responsabilidade pela política de backup de dados, retenção e testes de restauração segue com o cliente.
Com a nova postura regulatória, tende a ganhar força a visão de que:
– backup estruturado e testado é parte essencial da gestão de risco operacional;
– a instituição financeira deve comprovar que consegue recuperar dados e operações em prazos compatíveis com sua criticidade;
– a simples confiança na infraestrutura do provedor não é suficiente para atender aos padrões esperados pelo BC.
Isso implica revisar contratos, exigir SLAs específicos para recuperação de desastres, validar rotinas de backup e garantir que, em caso de falha massiva do provedor, exista um plano realista para voltar a operar.
Como as mudanças podem influenciar a estratégia de cibersegurança
Ao elevar o sarrafo para os PSTI, o Banco Central praticamente obriga o ecossistema financeiro a repensar sua estratégia de cibersegurança. Algumas tendências que tendem a se consolidar:
– integração mais forte entre áreas de risco, tecnologia e compliance;
– aumento da adoção de frameworks reconhecidos de segurança da informação;
– maior uso de monitoramento em tempo real e análise de comportamento de usuários e sistemas;
– crescimento dos testes de intrusão (pentests) e simulações de ataque envolvendo não apenas o banco, mas também seus fornecedores.
O foco deixa de ser apenas proteger as “muralhas” da instituição e passa a incluir a proteção de toda a cadeia de tecnologia que sustenta os serviços oferecidos ao público.
O que o cliente final pode esperar
Embora mudanças regulatórias desse tipo pareçam distantes do dia a dia do usuário, elas têm impacto direto sobre a experiência com serviços financeiros. Com regras mais duras para PSTI e respostas mais rápidas do BC, a tendência é:
– redução da frequência e da duração de interrupções em canais digitais;
– menor probabilidade de fraudes em larga escala decorrentes de falhas de terceiros;
– melhor comunicação em incidentes relevantes, com planos mais claros de contingência;
– ambiente mais confiável para uso de Pix, pagamentos instantâneos e serviços bancários online.
Ao mesmo tempo, pode haver, em alguns momentos, medidas preventivas mais visíveis, como limites temporários em transações ou exigência adicional de autenticação, especialmente quando houver suspeita de vulnerabilidade em algum elo da cadeia tecnológica.
Um passo a mais na maturidade regulatória do sistema financeiro
As novas regras do Banco Central sobre provedores de serviços de TI se inserem em um movimento mais amplo de amadurecimento regulatório frente à digitalização acelerada das finanças. Ao reconhecer a criticidade dos PSTI e tratá-los com o mesmo rigor aplicado a outros segmentos regulados, o BC sinaliza que a segurança do sistema não pode depender apenas dos bancos e instituições de pagamento, mas também daqueles que, nos bastidores, operam os sistemas que fazem tudo funcionar.
Em um cenário de ataques mais sofisticados, dependência crescente de tecnologia e protagonismo do Pix, a combinação de exigências mais rígidas, prazos de adaptação razoáveis e capacidade de resposta rápida do regulador tende a se tornar um diferencial competitivo para o próprio país na oferta de serviços financeiros digitais mais seguros e confiáveis.