Criptografia, rastreabilidade e gestão estratégica: o padrão de proteção exigido pelo Banco Central aos PSTIs

A segurança da informação deixou de ser uma função técnica isolada e passou a ser um imperativo estratégico sob responsabilidade direta da alta gestão. Essa é a mensagem central da nova regulamentação do Banco Central do Brasil – Resolução BCB n° 498 – publicada em setembro de 2025, que estabelece critérios rigorosos para a atuação de fornecedores de tecnologia no Sistema Financeiro Nacional.

Entre os pontos mais relevantes, estão as exigências de políticas formais de segurança cibernética, aprovadas pelo conselho de administração, e a adoção de mecanismos técnicos compatíveis com padrões internacionais.

Para os leitores do Crypto ID, que acompanham de perto os avanços em criptografia, controle de acesso, certificação digital e identificação eletrônica, a norma representa um marco regulatório que eleva o nível de exigência e reforça a importância da blindagem digital como fundamento de confiança institucional.

Segurança como política institucional

A nova regulamentação determina que toda política de segurança da informação e cibernética deve ser formulada com base em princípios que garantam a proteção dos dados, dos sistemas e dos recursos computacionais utilizados pelas instituições. Mais do que isso, exige que essa política seja aprovada pelo conselho de administração ou, na ausência deste, pela diretoria prevista em estatuto ou contrato social. A revisão deve ocorrer anualmente ou sempre que houver mudanças relevantes na estrutura ou no perfil de risco da empresa.

Essa exigência desloca o tema da segurança digital para o centro da governança corporativa. Não se trata mais de uma responsabilidade técnica delegada a áreas operacionais, mas de uma decisão estratégica que deve ser assumida pela liderança institucional. A alta gestão passa a ser corresponsável pela integridade dos sistemas e pela proteção das informações sensíveis.

Criptografia, rastreabilidade e isolamento: os pilares técnicos da nova exigência

A regulamentação detalha nos artigos 16 e 17 os elementos mínimos que devem compor a política de segurança cibernética. Entre eles, destacam-se mecanismos de criptografia, prevenção e detecção de intrusão, proteção contra vazamentos de dados e softwares maliciosos. A rastreabilidade das transações é mandatória, garantindo que cada operação possa ser auditada e verificada em caso de incidentes.

A norma também exige gestão de cópias de segurança, avaliação e correção de vulnerabilidades, controle de acesso com autenticação forte, aplicação regular de correções de segurança e proteção da rede. A segregação dos ambientes computacionais e o isolamento físico e lógico dos sistemas críticos — como os ambientes Pix e STR (Sistema de Transferência de Reservas)— são medidas que visam evitar contaminações cruzadas e ataques direcionados.

A Resolução do Banco Central do Brasil determina que os bancos e outras instituições financeiras devem separar, com barreiras virtuais e físicas, seus sistemas mais importantes e sensíveis, como os que controlam o Pix e o STR (Sistema de Transferência de Reservas). Isso significa que esses sistemas críticos devem ter servidores e redes próprias, isoladas de todo o resto da empresa. O objetivo é criar um “cofre digital” à prova de ataques: se um criminoso conseguir invadir a rede comum do banco, ele não conseguirá acessar ou manipular os sistemas que movimentam o dinheiro, garantindo assim a segurança das transações financeiras no Brasil.

Outro ponto relevante para o setor de identificação digital é a exigência de gestão de certificados digitais e de controles específicos para integração com outras partes por meio de interfaces eletrônicas. Além disso, as soluções utilizadas por instituições financeiras devem possuir certificação técnica que comprove sua conformidade com os padrões exigidos pelo Banco Central.

Inteligência cibernética como prática obrigatória

A regulamentação também incorpora a exigência de ações de inteligência cibernética. As instituições devem monitorar informações sensíveis — como credenciais, chaves e dados de clientes — na internet, na deep web e na dark web, além de grupos privados de comunicação. Essa prática, antes vista como diferencial competitivo, passa a ser compulsória para quem deseja operar com tecnologia no sistema financeiro nacional.

O impacto para o mercado de identificação digital

Para o ecossistema de identificação digital, a nova norma representa uma oportunidade de consolidação. Empresas que já operam com certificação digital, autenticação forte, gestão de identidade e acesso, biometria e criptografia avançada estão mais preparadas para atender às exigências regulatórias. A maturidade técnica e a conformidade com padrões internacionais deixam de ser atributos desejáveis e passam a ser requisitos mínimos.

A regulamentação também reforça a importância da interoperabilidade segura entre sistemas. As interfaces eletrônicas precisam ser protegidas por mecanismos robustos, e os certificados digitais ganham protagonismo como instrumentos de autenticação, integridade e não repúdio.

Disciplina regulatória e maturidade institucional: o papel da Resolução na organização do mercado de tecnologia financeira

Como executiva que já atuou em um PSTI, considero importante destacar que a Resolução do Banco Central não inaugura um modelo novo de segurança, mas reafirma e disciplina práticas que já deveriam estar consolidadas.

Com o crescimento acelerado do setor, especialmente impulsionado pelas fintechs e pela entrada de novos players tecnológicos, muitos passaram a operar sem clareza sobre os requisitos mínimos exigidos.

Na verdade, muitas dessas exigências de segurança e conformidade já fazia parte das regras e melhores práticas impostas pelo Banco Central (BCB) há anos, especialmente por meio das circulares e resoluções sobre segurança da informação e computação em nuvem (como a antiga Circular 3.909, por exemplo). Porém, a relevância em torno da Resolução BCB nº 498 se justifica por três mudanças principais:

O Foco no Credenciamento Obrigatório (A Entrada)

Antes, muitas exigências se davam por meio de cláusulas contratuais entre a Instituição Financeira (banco/fintech) e o PSTI (Provedor de Tecnologia), cabendo à instituição supervisionada garantir que seu fornecedor cumprisse as regras.

A Resolução 498 inverte essa lógica e cria um mecanismo de credenciamento formal e direto junto ao Banco Central.

O que mudou: Agora, para atuar como PSTI e ter acesso à Rede do SFN – Sistema Financeiro Nacional e da RSFN – Rede do Sistema Financeiro Nacional, a empresa de tecnologia precisa ser diretamente credenciada e supervisionada pelo BCB. O cumprimento das regras (capital social, governança, seguro, auditoria) se tornou um critério de entrada e permanência no sistema, e não apenas uma cláusula contratual.

Formalização e Elevação dos Padrões (A Régua)

A Resolução 498 pega as boas práticas e recomendações que existiam de forma pulverizada e as consolida em requisitos mínimos e objetivos, elevando a “régua” de forma inédita, especialmente para empresas menores ou startups que se tornaram PSTIs.

Exemplos de Formalização

Capital Social Mínimo: A exigência de um valor substancial (R$ 15 milhões) garante que apenas empresas com robustez financeira suficiente para absorver grandes perdas e manter a continuidade operacional possam atuar.

Governança: A obrigatoriedade de ter diretores específicos para Segurança da Informação, Riscos e Crises formaliza uma estrutura de governança mais pesada e compatível com a criticidade dos serviços.

Seguro: A exigência explícita de cobertura para riscos cibernéticos e fraudes no seguro de Responsabilidade Civil e Riscos Operacionais transforma um seguro que era opcional ou recomendado em um item de compliance obrigatório.

O Risco de Terceiros e a Onda de Ataques (O Contexto)

É nítido que o principal catalisador para esse “alarde” em torno da Resolução 498 é o contexto global de ataques cibernéticos via cadeia de suprimentos (supply chain attacks).

Muitos bancos e grandes instituições são seguras, mas acabam sendo expostos por fornecedores terceirizados que têm padrões de segurança mais baixos.

A Resolução 498 é vista como a resposta do BCB para mitigar o risco sistêmico que os PSTIs representam. Ao regulamentá-los diretamente, o BCB garante que o elo mais fraco da cadeia de serviços de tecnologia do SFN tenha um padrão de segurança à prova de falhas.

Em resumo, se você já cumpria essas exigências antes, é porque estava em um alto padrão de compliance. O que a 498 faz é impor esse alto padrão a todos os PSTIs e oficializá-lo como critério de credenciamento direto com o BCB.

Vigência imediata e auditoria obrigatória: o reforço da responsabilidade institucional

A Resolução BCB nº 498 entrou em vigor na data de sua publicação, em 5 de setembro de 2025. Não há previsão de prazo futuro para implementação — o que significa que todas as exigências, inclusive aquelas relacionadas à segurança da informação e cibernética, já estão válidas e devem ser cumpridas por qualquer Provedor de Serviços de Tecnologia da Informação que deseje atuar no Sistema Financeiro Nacional.

Além disso, a norma estabelece a obrigatoriedade de auditoria externa independente anual em segurança da informação. Caso o PSTI – Provedor de Serviços de Tecnologia da Informação, também preste serviços relacionados à prevenção à lavagem de dinheiro e financiamento do terrorismo, essa auditoria deve incluir esses aspectos. A resolução também exige que os fornecedores mantenham trilhas de auditoria acessíveis às instituições contratantes e ao Banco Central, realizem testes periódicos de vulnerabilidade e operem centros de processamento secundário com capacidade equivalente ao principal.

Essas exigências reforçam que a segurança digital não é apenas uma questão técnica — é uma responsabilidade institucional que envolve governança, conformidade e prestação de contas. E para o mercado de identificação digital, elas representam uma oportunidade clara de liderar com soluções que já nascem em conformidade com os novos padrões regulatórios.

Empresas que tratam a segurança como fundamento estratégico estarão preparadas para esse novo ciclo. As que ainda a veem como acessório precisarão correr contra o tempo — e contra o risco.

Na prática, o que diz a Resolução do BC?

A Resolução BCB nº 498 estabelece que qualquer empresa que forneça tecnologia para o sistema financeiro — os chamados PSTIs — deve seguir regras rigorosas de segurança digital. Isso inclui ter políticas formais de proteção de dados e sistemas, aprovadas pela alta gestão, e cumprir requisitos técnicos como criptografia, rastreabilidade das transações, isolamento de sistemas críticos e gestão de certificados digitais.

Mas o que muda na prática é o modelo de entrada: agora, para atuar como PSTI, a empresa precisa ser credenciada diretamente pelo Banco Central, e não apenas contratada por uma instituição financeira. Esse credenciamento exige capital mínimo, estrutura de governança robusta e contratação obrigatória de seguro de responsabilidade civil com cláusula específica para riscos cibernéticos.

A norma também exige auditoria externa anual, testes de vulnerabilidade, monitoramento de ameaças na deep web e proteção contra ataques via cadeia de suprimentos — um dos maiores riscos atuais. Em resumo, o BC está dizendo: segurança digital não é mais diferencial, é pré-requisito. E quem quiser operar no SFN precisa provar que está à altura desse novo padrão.