Em 5 de setembro de 2025, o Banco Central do Brasil (BCB) publicou as Resoluções nº 494, 495, 496, 497 e 498, modernizando de forma significativa o arcabouço regulatório do Sistema Financeiro Nacional (SFN) e do Sistema de Pagamentos Brasileiro (SPB). Essas normas incorporam exigências robustas de segurança da informação e cibersegurança, impactando diretamente instituições financeiras, instituições de pagamento e provedores de serviços de TI (PSTI). O objetivo é claro: elevar a resiliência tecnológica do setor financeiro frente ao crescente cenário de ameaças cibernéticas.
Os Principais Avanços
Fortalecimento da Governança e da Gestão de Riscos
As novas resoluções reforçam a necessidade de governança sólida. Agora, diretores responsáveis por segurança da informação, segurança cibernética e gestão de riscos devem comprovar capacitação técnica compatível com suas atribuições. Além disso, são obrigatórios:
- Comitês formais de gestão de crises operacionais.
- Planos de continuidade de negócios com testes periódicos.
Essas medidas visam garantir que as instituições possam reagir rapidamente a incidentes e manter operações críticas em funcionamento mesmo diante de falhas.
Requisitos de Capital e Seguros
Para PSTI, o capital social mínimo estabelecido é de R$ 15 milhões, podendo ser ajustado conforme perfil de risco e volume de operações. Também se exige a contratação de seguros de responsabilidade civil e riscos operacionais, cobrindo incidentes de fraude e eventos cibernéticos. Isso fortalece a capacidade financeira das instituições de absorver impactos decorrentes de incidentes tecnológicos.
Limites Transacionais Temporários
Para mitigar riscos, transações via TED e Pix realizadas por instituições de pagamento não autorizadas ou conectadas via PSTI terão limite inicial de R$ 15 mil, podendo ser elevado mediante comprovação de controles de segurança em até 90 dias.
Medidas Cautelares Rigorosas
Em casos de incidentes críticos, o Banco Central poderá suspender parcial ou totalmente a conexão à Rede do SFN (RSFN) e aplicar limites operacionais mais restritivos até que as deficiências sejam sanadas, garantindo proteção sistêmica.
O que mudou em relação ao passado
Autorizações e Prazos Antecipados
O prazo para regularização das instituições de pagamento não autorizadas foi antecipado de dezembro de 2029 para maio de 2026, com vedação à operação sem autorização prévia desde a publicação.
Credenciamento Formal de PSTI
Até então, prestadores de serviços de TI atuavam sem supervisão específica. A Resolução 498 estabelece regras claras para credenciamento, operação e descredenciamento de PSTI, permitindo acompanhamento direto do Banco Central.
Auditorias Independentes
A obrigatoriedade de auditoria externa anual foi ampliada para incluir segurança cibernética, além da prevenção à lavagem de dinheiro, com relatórios a serem enviados ao BC.
Requisitos Técnicos Padronizados
As normas definem padrões para comunicação eletrônica de dados e protocolos de criptografia na RSFN, alinhando-se às melhores práticas internacionais.
Os Desafios Esperados
Adequação de Estrutura e Processos
Instituições e PSTI precisarão revisar políticas de segurança, atualizar arquiteturas de rede, implantar monitoramento contínuo e capacitar equipes especializadas, demandando investimentos expressivos em tecnologia e treinamento.
Integração de Sistemas Legados
Muitos sistemas legados podem não suportar exigências avançadas, como criptografia moderna, autenticação multifator e rastreabilidade de logs, exigindo projetos complexos de migração ou modernização tecnológica.
Gestão de Incidentes e Resiliência
A necessidade de reportar incidentes ao BC e demonstrar ações corretivas e causas raiz coloca em evidência a maturidade dos processos internos de resposta. Deficiências podem gerar sanções significativas.
Cultura de Segurança
Mais do que tecnologia, a implementação das resoluções exige mudança cultural: integração entre TI, risco e compliance, e comprometimento da alta direção são fundamentais para manter um ciclo contínuo de melhoria em segurança cibernética.
Wrap Up
As Resoluções BCB 494 a 498 marcam um avanço significativo na cibersegurança do SFN e do SPB, estabelecendo regras claras, padronização técnica e supervisão ampliada. Apesar dos desafios de implementação, essas normas elevam o nível de resiliência do setor financeiro, alinhando-o a padrões internacionais e fortalecendo a proteção contra ameaças cibernéticas cada vez mais sofisticadas. Para instituições, PSTI e reguladores, o futuro passa pela integração entre tecnologia, governança e cultura de segurança.
A eximia.co oferece consultoria especializada em compliance, cibersegurança e governança de riscos, auxiliando desde a revisão de políticas e processos até a implementação de controles tecnológicos avançados. Fale conosco e garanta adequação regulatória, mitigação de riscos e preparação para auditorias, transformando desafios em oportunidades de resiliência e crescimento.
