O Banco Central (BC) anunciou em janeiro de 2026 uma atualização das normas que regulamentam os Provedores de Serviços de Tecnologia da Informação (PSTI) que operam no Sistema Financeiro Nacional (SFN) e no Sistema de Pagamentos Brasileiro (SPB). A mudança altera a Resolução BCB 498, publicada em setembro de 2025, e tem o objetivo de tornar mais claras as exigências para credenciamento e atuação dessas empresas.

Objetivos e abrangência das alterações

Segundo o BC, as revisões buscam aperfeiçoar dispositivos da norma em vigor, deixando os requisitos mais completos e objetivos. Além disso, o processo de credenciamento das prestadoras de TI passa a ser mais rigoroso, alinhado aos parâmetros aplicados a outros segmentos regulados pelo Banco Central.

Principais mudanças na regulamentação

Capital social e patrimônio líquido: o órgão regulador ganhou poderes para exigir, a qualquer momento, um aumento no valor do capital social ou no patrimônio líquido das empresas, reforçando sua capacidade financeira.

Requisitos de credenciamento: foram ajustados critérios de reputação e de capacidade técnica dos administradores, incorporando definições sobre controle acionário e novos mecanismos de análise de conformidade.

Governança e gestão de riscos: o texto reforça a necessidade de estruturas de governança corporativa, controles internos e compliance. As empresas devem elaborar relatórios anuais e implementar mecanismos de rastreabilidade de processos.

Descredenciamento: os procedimentos para retirada de credenciamento foram simplificados, tornando o processo mais ágil em caso de descumprimento das regras.

Prestação de informações ao BC: as obrigações de comunicação foram ampliadas e passam a incluir alterações societárias e substituição de administradores.

Medidas cautelares: o texto incluiu novas hipóteses que autorizam o BC a adotar medidas preventivas, como nos casos de ausência prolongada de diretor responsável.

Prazos e impacto operacional

O período de adaptação às novas exigências, originalmente definido em quatro meses, foi estendido para oito meses. Durante esse intervalo, os provedores que ainda não concluíram o credenciamento seguirão sujeitos ao limite de R$ 15 mil por transação via Pix e TED, conforme as Resoluções BCB 496 e 497.

Contexto de segurança cibernética

As mudanças ocorrem após o ataque hacker sofrido pelo Banco do Nordeste, que precisou suspender o Pix depois de desvio de recursos em conta-bolsão. O incidente reforça a preocupação com prestadores de serviços terceirizados, apontados como elos vulneráveis, uma vez que oferecem caminhos alternativos aos sistemas de proteção dos grandes bancos.

No último ano, o BC já havia suspendido empresas do sistema Pix e endurecido as regras de segurança para instituições de pagamento, em resposta ao aumento de incidentes cibernéticos.

Com a atualização das normas, o Banco Central espera elevar os níveis de segurança, eficiência e transparência na prestação de serviços de TI ao sistema financeiro, reduzindo riscos operacionais e cibernéticos e promovendo maior estabilidade no ambiente de pagamentos do país.

Com informações de Agência Brasil