Notícia publicada originalmene no Debate Jurídico
O Banco Central (BC) estabeleceu prazos escalonados para os Provedores de Serviços de Tecnologia da Informação (PSTIs) se adequarem às novas exigências de segurança: até 30 de setembro para medidas críticas, como rastreabilidade de transações e controles de acesso, e até 15 de outubro para a implementação das demais exigências de governança e gestão de riscos. As regras estão na Instrução Normativa BCB nº 664/2025, publicada em 11 de setembro e em vigor desde o dia 15.
As mudanças fazem parte de um pacote emergencial de reforço da segurança do sistema financeiro, Resolução BCB nº 498/2025, após ataques hackers ocorridos entre o final de agosto e o início de setembro, que miraram PSTIs — empresas responsáveis por serviços de mensageria e troca de informações no Sistema de Pagamentos Brasileiro (SPB) e na Rede do Sistema Financeiro Nacional (RSFN). Essas companhias são peças críticas de infraestrutura, permitindo que instituições menores se comuniquem com o mercado e com o próprio BC.
O parágrafo 2º da norma determina que o relatório de asseguração razoável, elaborado por auditoria independente, deve ser entregue ao BC em até 15 dias após a implementação das medidas previstas. Na prática, isso significa que, concluída a etapa final de adequação em 15 de outubro, os provedores terão até 30 de outubro para enviar o relatório de conformidade.
Para especialistas, o prazo curto pressiona especialmente provedores de médio e pequeno porte, que precisam investir rapidamente em infraestrutura de segurança, com risco de concentração de mercado. Outro ponto de atenção é a compatibilidade entre a rastreabilidade ampla e a Lei Geral de Proteção de Dados (LGPD), já que a exigência de logs detalhados aumenta a coleta e guarda de informações sensíveis.
Segundo a advogada criminalista Cecilia Mello, especialista em compliance, direito penal empresarial e sócia do Cecilia Mello Advogados, a norma reforça a responsabilidade das empresas que dão sustentação ao sistema financeiro. “O Banco Central não deixou espaço para improvisos. As medidas precisam ser implementadas nos prazos definidos e o relatório de auditoria é a prova de que houve governança efetiva. Omissões podem gerar sanções administrativas e até responsabilização penal. É fundamental que os provedores conciliem rastreabilidade e controles técnicos com a proteção de dados dos usuários”, alerta.
Próximos passos
- 30 de setembro: prazo para implementação das medidas críticas de rastreabilidade e controle de acessos.
- 15 de outubro: prazo para implementação das demais medidas de governança e gestão de riscos.
- Até 30 de outubro: prazo limite para envio ao BC do relatório de asseguração razoável, elaborado por auditoria independente, comprovando a conformidade.
