top of page

Novas Resoluções BCB: Impactos para IPs e PSTIs

  • Foto do escritor: Antonio Candido Neto
    Antonio Candido Neto
  • 25 de nov.
  • 9 min de leitura
ree

1.0 Introdução à Nova Fase Regulatória do Sistema de Pagamentos Brasileiro

Em 5 de setembro de 2025, o Banco Central do Brasil (BCB) emitiu um abrangente pacote de resoluções que inaugura uma nova fase de maturidade para o Sistema de Pagamentos Brasileiro (SPB). Essas normas representam um movimento estratégico para institucionalizar práticas de governança robustas e elevar os padrões de segurança e resiliência de todo o ecossistema. O foco particular recai sobre a formalização de Instituições de Pagamento (IPs) que operavam sob regras de transição e na criação de um inédito e robusto arcabouço regulatório para os Provedores de Serviços de Tecnologia da Informação (PSTIs). O objetivo central é claro: elevar o padrão de supervisão, mitigar riscos sistêmicos e garantir que a infraestrutura tecnológica crítica que sustenta o sistema financeiro opere sob as mais rigorosas exigências. Esta análise detalhará as novas obrigações impostas às Instituições de Pagamento e aos seus parceiros tecnológicos.


2.0 O Novo Marco para Autorização de Instituições de Pagamento (Resoluções BCB Nº 494 e 495)

A formalização da atuação das Instituições de Pagamento é um passo estratégico para o fortalecimento do SPB. As alterações promovidas nas Resoluções BCB nº 80 e 81, por meio das novas Resoluções nº 494 e 495, efetivamente encerram o período em que certas modalidades de IPs podiam iniciar suas operações sem a necessidade de uma autorização prévia do Banco Central. Essa mudança uniformiza as exigências para todos os participantes, aumenta a solidez do setor e garante que todas as entidades que prestam serviços de pagamento estejam sujeitas ao mesmo nível de escrutínio regulatório desde o início de suas atividades.


2.1 Análise dos Prazos e da Obrigatoriedade de Autorização

A Resolução BCB nº 494 estabelece um cronograma claro e improrrogável para que as instituições em operação solicitem sua autorização de funcionamento. Os principais pontos são:

Prazo Final: As instituições afetadas deverão protocolar seus pedidos de autorização de funcionamento no período de 1º de maio de 2026 a 31 de maio de 2026.

Instituições Afetadas: A obrigatoriedade se aplica a entidades que iniciaram suas atividades antes de marcos regulatórios específicos e que ainda não possuem autorização do BCB, incluindo:

    ◦ Emissores de moeda eletrônica que iniciaram suas atividades antes de 1º de março de 2021.

    ◦ Emissores de instrumento de pagamento pós-pago e credenciadores que iniciaram suas atividades antes de 5 de setembro de 2025.

Consequências do Descumprimento: A instituição que não apresentar o pedido dentro do prazo poderá continuar a operar por apenas 30 dias, contados a partir do término do prazo (caso não envie o pedido) ou da notificação do Banco Central (caso o pedido seja considerado inadequado).


2.2 Avaliação dos Novos Requisitos Estruturais e de Governança

A Resolução BCB nº 495 eleva o padrão dos requisitos para a obtenção da autorização, focando em aspectos práticos de governança e estrutura física que refletem a maturidade esperada de uma instituição de pagamento. As novas exigências incluem:

Capacitação Técnica: A instituição deve comprovar a capacitação técnica de seus administradores, assegurando que os executivos possuam competências compatíveis com as funções a serem exercidas.

Sede Física Exclusiva: Fica explicitamente proibido o uso de endereços de coworking, escritórios virtuais ou outros espaços compartilhados como sede da instituição. A regra exige um endereço de uso efetivo e exclusivo, e as IPs já autorizadas também deverão se adequar a esta nova obrigação.

Requisitos de Capital: É mandatório que a instituição demonstre o atendimento aos requerimentos mínimos de capital e de patrimônio líquido, conforme a regulamentação vigente.


2.3 Procedimentos em Caso de Indeferimento do Pedido

Para as instituições que já estão em operação e tiverem seu pedido de autorização indeferido, as regras são claras e visam proteger os usuários finais. Conforme o Art. 17 da Resolução BCB nº 81 (alterado pela Resolução 495), a instituição deverá, em até 30 dias após a notificação da decisão, executar as seguintes ações mandatórias:

  • Cessar completamente a prestação de serviços de pagamento.

  • Comunicar o encerramento das atividades aos seus usuários e outras partes interessadas, indicando os procedimentos para a devolução de valores.

  • Devolver integralmente os saldos existentes em contas de pagamento, transferindo os recursos para outras contas de titularidade dos usuários em instituições autorizadas pelo BCB.


Esta maior formalização das IPs está diretamente conectada a uma nova e extensa regulamentação criada para seus parceiros tecnológicos, reconhecendo que a solidez de uma IP depende criticamente da segurança e resiliência de sua infraestrutura de TI.


3.0 A Criação do Marco Regulatório para Provedores de Serviços de TI (Resolução BCB Nº 498)

A Resolução BCB nº 498 é, sem dúvida, a mais transformadora do pacote normativo. Ela cria, pela primeira vez, um regime de credenciamento, governança e supervisão para os Provedores de Serviços de Tecnologia da Informação (PSTIs) que oferecem acesso à Rede do Sistema Financeiro Nacional (RSFN). A norma reconhece formalmente o papel crítico que essas entidades desempenham na infraestrutura do Sistema de Pagamentos Brasileiro e estabelece que, para operar nesse ecossistema, não basta ser um bom fornecedor de tecnologia; é preciso ser uma entidade com governança robusta, capital compatível e controles de segurança de nível bancário.


3.1 Requisitos Essenciais para o Credenciamento de PSTIs

O Art. 3º da Resolução BCB nº 498 detalha um conjunto rigoroso de pré-requisitos para que um PSTI possa ser credenciado pelo Banco Central. Os principais pontos estão resumidos na tabela abaixo:

Requisito

Descrição

Capital Social Mínimo

Comprovação de capital social realizado e patrimônio líquido de, no mínimo, R$15.000.000,00.

Capacidade Técnico-Operacional

Demonstração de capacidade para prestar os serviços de acesso à RSFN, atendendo aos padrões técnicos do BCB.

Designação de Diretores Responsáveis

Indicação formal de diretores para funções críticas, como Segurança da Informação, Gestão de Riscos e Compliance, e Gestão de Crises Operacionais.

Certificação de Segurança da Informação

Obtenção e manutenção de certificação de segurança em norma reconhecida internacionalmente (ou asseguração independente aceita pelo BCB).

Contratação de Seguro de Responsabilidade Civil

Apólice de seguro para responsabilidade civil e riscos operacionais, incluindo incidentes de fraude e segurança cibernética.

Plano de Continuidade de Negócios

Elaboração e manutenção de um plano robusto, com testes periódicos de contingência e comprovação anual ao BCB.

Mecanismos de Governança e Gestão de Riscos

Comprovação do estabelecimento de mecanismos de governança corporativa e gestão de riscos alinhados à nova regulamentação.

3.2 Análise das Novas Exigências de Governança Corporativa e Gestão de Riscos

A nova norma impõe aos PSTIs uma estrutura de governança e gestão de riscos similar à das próprias instituições financeiras, reconhecendo sua relevância sistêmica.

  • Estrutura de Governança A resolução exige uma estrutura de governança sofisticada, que inclui a segregação de funções entre as áreas de gestão, riscos, compliance e auditoria para evitar conflitos de interesse. Torna-se obrigatória a criação de um Comitê de Gestão de Crises Operacionais, com papéis e responsabilidades formalmente definidos. Além disso, a alta administração deve designar diretores para funções-chave, como o Diretor de Segurança da Informação, o Diretor de Riscos e Compliance e o Diretor responsável pela gestão de crises.

  • Políticas de Gestão de Riscos Os PSTIs deverão implementar e manter um conjunto de políticas formais, aprovadas pelo conselho de administração ou diretoria, que devem ser revisadas anualmente. As políticas mandatórias incluem, no mínimo:

    • Segurança da informação e cibernética;

    • Continuidade de negócios;

    • Gestão de crises operacionais;

    • Gestão de fraudes.


3.3 Detalhamento dos Requisitos de Segurança Cibernética

O Art. 17 da Resolução detalha um extenso rol de controles de segurança da informação e cibernética. Entre os mais importantes, destacam-se:

  • Proibição de Acesso às Chaves Privadas: O PSTI fica expressamente proibido de ter acesso às chaves privadas que seus clientes utilizam para a assinatura de mensagens no âmbito dos sistemas de pagamento, como o Pix.

  • Segregação de Ambientes Críticos: É exigido o isolamento físico e lógico dos ambientes do Pix e do Sistema de Transferência de Reservas (STR) dos demais sistemas da instituição, garantindo que essas infraestruturas críticas não sejam expostas a riscos de outros serviços.

  • Controles Técnicos Avançados: Implementação de um robusto conjunto de mecanismos de segurança, incluindo:

    • Criptografia, prevenção de intrusão e prevenção contra vazamento de dados.

    • Realização de testes periódicos de intrusão (pentests) e análises de vulnerabilidades.

    • Controles rigorosos de acesso à rede, exigindo autenticação multifator (MFA) para acessos administrativos e para qualquer conexão externa à rede corporativa.


3.4 Prazos e Processo de Adequação para PSTIs em Atividade

A Resolução 498 define um cronograma acelerado para a adequação dos PSTIs que já estão em operação. O pedido de credenciamento junto ao Banco Central deve ser protocolado em até quatro meses após a data de publicação da norma. O descumprimento deste prazo resultará no descredenciamento de ofício do provedor, que deverá implementar um plano de saída ordenada do sistema. Essa nova regulação de PSTIs impacta diretamente as operações de pagamento mais utilizadas no país, como o Pix e a TED.


4.0 Impactos Operacionais no Pix e TED para Instituições via PSTI (Resoluções BCB Nº 496 e 497)

As mudanças nas regras do Pix e da TED, introduzidas pelas Resoluções BCB nº 496 e 497, são uma consequência direta da nova regulamentação dos PSTIs. O Banco Central criou um poderoso mecanismo de incentivo para que as instituições financeiras e de pagamento exijam que seus provedores de tecnologia se adequem ao novo padrão de segurança. A lógica é simples: instituições que utilizam PSTIs não credenciados ou que não cumprem os requisitos de segurança mais elevados estarão sujeitas a limites operacionais como medida de mitigação de risco.


4.1 Limites de Transação e Condições de Isenção

Foi estabelecido um novo limite de valor de R$15.000,00 por transação (tanto para Pix quanto para TED) emitida por instituições que se conectam à RSFN por meio de um PSTI.

Contudo, este limite não se aplicará caso a instituição contratante cumpra, cumulativamente, as duas seguintes condições:

1. Acessar a RSFN por meio de um PSTI que já tenha concluído seu processo de credenciamento junto ao Banco Central.

2. Demonstrar, por meio de um relatório de asseguração razoável emitido por uma empresa de auditoria independente, a implementação de controles de segurança específicos que garantam a segregação de responsabilidades e a integridade do processo. Para o Pix, os controles a serem auditados são:

a) Não compartilhar com o PSTI as chaves privadas utilizadas para a assinatura das mensagens;

b) Validar a integridade das transações antes da assinatura, assegurando que os dados não foram manipulados;

c) Utilizar certificados digitais distintos para ambientes diferentes (ex: homologação e produção);

d) Adotar certificados separados para funções diferentes (ex: assinatura de mensagens e estabelecimento de canal). Para a TED, os controles são similares, compreendendo os itens (a), (b) e (c) listados acima.


A regulamentação prevê ainda a possibilidade de uma dispensa temporária desse limite por 90 dias, mediante uma solicitação justificada ao BCB que demonstre a adoção de medidas para aprimorar os controles de segurança. O foco agora se desloca das novas regras para as novas responsabilidades das instituições que contratam esses serviços essenciais.


5.0 Novas Responsabilidades para as Instituições Contratantes de PSTIs

O novo arcabouço regulatório promove uma mudança de paradigma na relação entre as instituições financeiras/de pagamento e seus provedores de tecnologia. Com base no Art. 35 da Resolução 498, a responsabilidade pela due diligence na contratação e pelo monitoramento contínuo do provedor foi formalizada e intensificada. A contratação de um PSTI deixa de ser uma simples relação comercial e passa a ser uma extensão da própria gestão de riscos da instituição contratante.

Os deveres explícitos das instituições contratantes agora incluem:

  • Obrigatoriedade de Contratar Apenas PSTIs Credenciados: Fica vedado o acesso à RSFN por meio de um provedor que não esteja devidamente credenciado pelo Banco Central.

  • Dever de Monitoramento Contínuo: A instituição contratante deve monitorar ativamente se seu PSTI mantém a adequação aos requisitos de governança, gestão de riscos, segurança e continuidade de negócios exigidos pela regulação.

  • Responsabilidade pela Segurança das Chaves: A instituição deve manter a posse de suas próprias chaves privadas e é responsável por validar a integridade das transações antes de assiná-las digitalmente.

  • Proibição do Reuso de Certificados: É proibido o uso do mesmo certificado digital para diferentes ambientes (como homologação e produção) ou para diferentes funções (como assinatura de mensagens e estabelecimento de canal).

  • Obrigação de Comunicação: A instituição deve comunicar imediatamente ao Banco Central quaisquer falhas relevantes ou descumprimentos que identifique na atuação do PSTI contratado.


6.0 Conclusão e Recomendações Estratégicas

O pacote de resoluções de setembro de 2025 deixa uma mensagem clara: o Banco Central está elevando significativamente a régua de segurança, governança e responsabilidade para todos os participantes do ecossistema de pagamentos. O foco na criticidade da infraestrutura tecnológica e na formalização de todos os agentes demonstra a busca por um sistema financeiro cada vez mais robusto, resiliente e seguro para a sociedade.


Recomendações


Para Instituições de Pagamento ainda não autorizadas: Avaliar imediatamente a necessidade de solicitar a autorização de funcionamento e iniciar, sem demora, um projeto de adequação aos novos requisitos estruturais e de governança, visando o prazo de maio de 2026. É crucial mapear a aderência aos requisitos de capital mínimo e sede física, que representam os maiores desafios de adequação.

Para Provedores de Serviços de TI (PSTIs): Iniciar com urgência um projeto formal de credenciamento, com alocação de orçamento para o aumento de capital social, se necessário, e para a contratação de auditorias e seguros exigidos. Realizem uma análise de GAPs completa frente aos rigorosos requisitos da Resolução BCB nº 498, pois o prazo de quatro meses para submeter o pedido é exíguo.

Para Instituições Contratantes de PSTIs: Realizar uma avaliação imediata da situação de seus provedores atuais, exigindo um plano claro de adequação e credenciamento. É fundamental iniciar imediatamente a revisão e, se necessário, a renegociação dos contratos com os PSTIs para incluir cláusulas que reflitam as novas responsabilidades e garantam o cumprimento da Resolução BCB Nº 498, estabelecendo penalidades contratuais em caso de não credenciamento. Preparem planos de contingência, pois a inação pode resultar na imposição de limites operacionais em Pix e TED.

 
 
 

Comentários

  • Whatsapp
Contato Via WahtsApp
base_icon_white_background.png
INSTITUCIONAL

Home

Sobre 

Serviços

Clientes

Contatos

LINHAS-FAIXA.png

Inscreva seu email para receber nossos informativos, promoções e novidades!

Receba Informativos

Obrigado por se inscrever.

base_logo_transparent_background.png

(11) 9.6030-9575

antonio.neto@pluspayments.com.br

  • Facebook
  • Instagram
  • LinkedIn
  • Twitter
  • Whatsapp
HOMEM-PNG-+payments.png
CONSULTORIA ESTRATÉGICA

Fintech

Banking

e-Commerce

Emissores

Instituições de Pagamentos

Copyright © 2022 Todos os direitos reservados a + Payments

Site Desenvolvido por Grupo Bella Soluções - GBS

bottom of page