O cenário de digitalização crescente no Brasil e a proliferação de serviços financeiros inovadores impulsionaram a necessidade de aprimoramento contínuo nas normas de segurança. Nesse contexto, o Banco Central do Brasil (BC) promoveu ajustes significativos na regulamentação dos Provedores de Serviços de Tecnologia da Informação (PSTI) que operam no Sistema Financeiro Nacional (SFN) e no Sistema de Pagamentos Brasileiro (SPB). As mudanças visam aperfeiçoar dispositivos da norma vigente, buscando tornar os requisitos mais completos, claros e objetivos. Com isso, o processo de credenciamento dessas empresas torna-se mais rigoroso, alinhando as exigências aplicáveis aos PSTI às práticas já adotadas em outros segmentos regulados. A iniciativa reforça a segurança operacional e cibernética, a eficiência e a transparência do setor, essenciais para a estabilidade e a confiança dos usuários e das instituições.
Aprimoramento regulatório para provedores de TI no SFN
As alterações promovidas pelo Banco Central na regulamentação dos PSTI representam um marco importante para o fortalecimento da infraestrutura tecnológica e de segurança do sistema financeiro brasileiro. O objetivo central é mitigar riscos e garantir que os provedores de tecnologia, que são parceiros essenciais das instituições financeiras, operem com os mais altos padrões de conformidade e resiliência. Essas novas diretrizes abrangem diversas áreas, desde a capacidade financeira até a gestão de riscos e a comunicação com o regulador, buscando uma atuação mais responsável e segura.
Requisitos financeiros mais robustos
Uma das mudanças mais impactantes é a possibilidade de o Banco Central exigir, a qualquer momento, valores de capital social e patrimônio líquido superiores aos apresentados no credenciamento inicial. Esta medida visa garantir que os PSTI possuam capacidade financeira adequada para suportar suas operações e eventuais intercorrências, oferecendo maior solidez e segurança para o sistema como um todo. A exigência de maior robustez financeira reflete a crescente importância e o nível de responsabilidade dessas empresas na manutenção da infraestrutura vital do SFN.
Critérios de credenciamento e conformidade
Houve ajustes nos critérios de reputação e capacidade técnica dos administradores dos PSTI, que agora estão alinhados aos padrões de outros setores regulados. Isso significa que a avaliação dos profissionais à frente dessas empresas será mais criteriosa, buscando garantir a idoneidade e a competência necessárias para gerir operações de alta criticidade. Além disso, a norma inclui novas definições sobre controle acionário e mecanismos aprimorados de análise de conformidade, assegurando que a estrutura de propriedade e as práticas internas estejam em plena sintonia com as exigências regulatórias.
Fortalecimento da governança e gestão de riscos
As novas regras reforçam as exigências de governança corporativa, controles internos e compliance. Os PSTI serão obrigados a elaborar relatórios anuais detalhados e a adotar mecanismos robustos de rastreabilidade. Tais medidas visam aumentar a transparência das operações, permitir o monitoramento eficaz das atividades e assegurar que as empresas possuam estruturas de controle adequadas para identificar, avaliar e mitigar riscos operacionais, cibernéticos e de conformidade. A governança robusta é um pilar fundamental para a resiliência do sistema financeiro.
Procedimentos de descredenciamento simplificados
Para garantir a agilidade na resposta a situações de não conformidade, os procedimentos de descredenciamento foram simplificados. A ideia é tornar o processo mais objetivo e rápido em casos de descumprimento das regras estabelecidas pelo Banco Central. Essa simplificação permite ao regulador agir de forma mais eficaz quando um PSTI falha em atender aos requisitos, protegendo as instituições financeiras e, consequentemente, os usuários do sistema.
Transparência e comunicação com a autoridade monetária
As obrigações de comunicação dos PSTI com o Banco Central foram ampliadas. Agora, as empresas devem informar prontamente alterações societárias, substituição de administradores e outros eventos relevantes que possam impactar sua operação ou perfil de risco. Essa maior transparência na prestação de informações é crucial para que o BC mantenha uma visão atualizada e completa sobre os provedores, facilitando a fiscalização e a tomada de decisões regulatórias.
Medidas cautelares e diretoria responsável
Foram incluídas novas hipóteses que autorizam o Banco Central a adotar medidas preventivas, as chamadas medidas cautelares. Um exemplo específico é a possibilidade de intervenção em casos de ausência prolongada de um diretor responsável. Essa prerrogativa confere ao regulador mais ferramentas para agir proativamente e evitar que lacunas na gestão ou na operação dos PSTI comprometam a segurança e a continuidade dos serviços prestados às instituições financeiras.
Prazo de adaptação estendido
Reconhecendo a complexidade das mudanças e a necessidade de tempo para que as empresas se adequem, o período para implementação das novas regras foi ampliado de quatro para oito meses. Essa extensão permite uma transição mais segura e previsível para os PSTI, que terão mais tempo para ajustar seus processos, sistemas e estruturas de governança sem interrupções abruptas ou impactos negativos na prestação de serviços.
Impacto nas operações e transações
Durante o período de adequação, as instituições financeiras que se conectam à Rede do Sistema Financeiro Nacional (RSFN) por meio de PSTI que ainda não concluíram o novo processo de credenciamento continuam sujeitas a um limite de R$ 15 mil por transação via Pix e TED. Essa medida, baseada nas Resoluções BCB 496 e 497, serve como uma salvaguarda temporária, garantindo que as operações via provedores ainda em processo de credenciamento sejam realizadas com um patamar de risco controlado, até que a conformidade plena seja alcançada.
Cenário de ciberameaças e a vulnerabilidade dos elos terceirizados
A decisão do Banco Central de intensificar a regulamentação dos PSTI não é isolada, mas responde a um contexto global de aumento das ciberameaças, especialmente aquelas direcionadas ao setor financeiro. O crescimento exponencial da digitalização e a popularidade do Pix como principal meio de pagamento do país, embora tragam inegáveis benefícios, também expõem o sistema a novos vetores de ataque. Os provedores de tecnologia, muitas vezes, representam um elo crucial e, por vezes, mais vulnerável na cadeia de segurança.
O incidente no Banco do Nordeste e a urgência das mudanças
A urgência em aprimorar as regras foi reforçada por incidentes recentes, como o ataque hacker sofrido pelo Banco do Nordeste (BNB). Esse incidente levou a instituição a suspender temporariamente o Pix, após o desvio de recursos de uma “conta-bolsão”, que é um instrumento que reúne fundos de diversos usuários em uma única conta, sem identificação individualizada dos titulares. O ocorrido no BNB ilustra como a exploração de vulnerabilidades em parceiros tecnológicos pode comprometer operações bancárias essenciais e a confiança dos usuários.
Crescimento da digitalização e o aumento dos ataques a terceirizados
Desde o ano passado, ataques a prestadores de serviços terceirizados têm se tornado mais frequentes no sistema financeiro. Criminosos têm adotado essa estratégia por perceberem que esses provedores podem representar um elo mais frágil na robusta arquitetura de segurança dos grandes bancos. Ao explorar falhas em sistemas integrados de terceiros, os cibercriminosos conseguem contornar camadas de proteção que seriam difíceis de transpor diretamente nas instituições financeiras primárias. Isso reforça a necessidade de que toda a cadeia de valor, incluindo os PSTI, esteja igualmente fortificada.
Investimento em cibersegurança e a necessidade de regulação contínua
O reforço na regulação dos PSTI ocorre em um cenário onde as instituições financeiras têm intensificado seus investimentos em cibersegurança. Esse movimento é impulsionado tanto pela massiva digitalização dos serviços bancários quanto pelo crescimento vertiginoso do Pix. Em um passado recente, o Banco Central já havia agido, suspendendo do sistema Pix diversas empresas que atendiam a bancos e endurecendo as regras de segurança para instituições de pagamento. A nova regulamentação para os PSTI é, portanto, mais um passo nessa jornada contínua de fortalecimento da resiliência cibernética do sistema financeiro, visando proteger os dados e os recursos dos milhões de brasileiros que utilizam os serviços bancários digitais.
Conclusão
As recentes alterações nas normas que regem os Provedores de Serviços de Tecnologia da Informação pelo Banco Central representam um avanço fundamental para a segurança e a estabilidade do Sistema Financeiro Nacional. Ao exigir maior robustez financeira, aprimorar os critérios de credenciamento e fortalecer a governança e a gestão de riscos, o regulador brasileiro demonstra seu compromisso em criar um ambiente mais seguro e transparente. A iniciativa é um reconhecimento da importância estratégica dos PSTI e da necessidade de que atuem sob os mais elevados padrões, minimizando vulnerabilidades e protegendo os usuários contra ataques cibernéticos. Com um período de adaptação ampliado, o mercado tem a oportunidade de se ajustar a essas novas exigências, consolidando um ecossistema financeiro digital mais confiável e resiliente para o Brasil.
Perguntas frequentes
O que são Provedores de Serviços de Tecnologia da Informação (PSTI) no contexto financeiro?
São empresas que fornecem infraestrutura, sistemas e soluções de tecnologia para instituições financeiras, auxiliando na operação de serviços bancários, sistemas de pagamento e outras funções críticas do setor.
Por que o Banco Central decidiu alterar as regras para os PSTI agora?
As alterações visam aperfeiçoar a regulamentação existente, tornando-a mais clara e completa. Elas surgem em um contexto de crescente digitalização dos serviços financeiros e aumento de ataques cibernéticos, especialmente contra elos terceirizados, como demonstrado por incidentes recentes. O objetivo é fortalecer a segurança, eficiência e transparência do sistema.
Quais são os principais impactos das novas regras para as instituições financeiras e os próprios PSTI?
Para os PSTI, os impactos incluem requisitos financeiros mais rigorosos, critérios de credenciamento mais estritos, maior exigência de governança e gestão de riscos, e um aumento nas obrigações de comunicação. Para as instituições financeiras, as mudanças representam maior segurança ao interagir com provedores de tecnologia, mas também exigem que garantam que seus PSTI estejam em conformidade, sujeitando a limites de transação (R$ 15 mil via Pix/TED) caso o provedor ainda não esteja credenciado sob as novas regras.
As novas regras afetam diretamente o usuário final do sistema financeiro?
Indiretamente, sim. Embora as regras se apliquem aos PSTI e às instituições financeiras, o aprimoramento da segurança e da governança em toda a cadeia de tecnologia visa proteger os dados e os recursos dos usuários finais, reduzindo o risco de fraudes e ataques cibernéticos e garantindo a estabilidade e a continuidade dos serviços financeiros digitais.
Mantenha-se informado sobre as regulamentações financeiras e a segurança digital para garantir a proteção de suas operações.
