Artigo
02/10/2025

Credenciamento de PSTIs: o papel estratégico do advogado

Analisa o papel do advogado na adequação regulatória e segurança jurídica dos PSTIs conforme a Resolução BCB nº 498/2025.

Avatar Thiago do Amaral Santos

Registros selecionados

Imagem de capa do artigo

A Resolução BCB nº 498/2025 instituiu um novo marco regulatório para os Provedores de Serviços de Tecnologia da Informação (PSTIs); entidades que viabilizam o acesso de instituições financeiras e de pagamento à Rede do Sistema Financeiro Nacional (RSFN). O credenciamento deixou de ser um requisito técnico-operacional e passou a demandar capital robusto, governança sofisticada, políticas estruturadas e supervisão contínua pelo Banco Central. Nesse cenário, a assessoria de um advogado regulatório torna-se indispensável para organizar processos, reduzir riscos e dar segurança jurídica.

Diagnóstico inicial e planejamento estratégico

Gap analysis regulatório: comparação entre a estrutura atual do PSTI e os requisitos da Resolução.

Estrutura societária e de governança

Revisão da estrutura societária e qualificação de controladores e administradores (idoneidade, reputação, regularidade fiscal).

Elaboração de alterações estatutárias/contratuais para instituir diretores responsáveis por segurança da informação, riscos/compliance, crises operacionais e relacionamento com o BCB.

Regimento do Comitê de Crises Operacionais.

Minutas e revisão de atas para eleição e posse de administradores.

Políticas obrigatórias

A Resolução exige um conjunto robusto de políticas internas, que devem ser formais, aprovadas e revisadas anualmente:

  • Política de Governança Corporativa;
  • Política de Gestão de Riscos;
  • Política de Segurança da Informação e Cibernética;
  • Política de Continuidade dos Negócios;
  • Plano de Saída Ordenada;
  • Política de Gestão de Crises Operacionais;
  • Política de Gestão de Incidentes;
  • Política de Gestão de Fraudes;
  • Política de Controles Internos e Compliance;
  • Política de Auditoria Interna.

Cada uma dessas políticas precisa conter conteúdo mínimo previsto em norma, com força jurídica para orientar administradores.

Contratos com instituições supervisionadas

Minutas de contratos de prestação de serviços PSTI com instituições financeiras e de pagamento.

Cláusulas obrigatórias (Art. 35): Parecer sobre responsabilidade civil e alocação de riscos, para evitar corresponsabilização indevida do PSTI.

Modelos de aditivos contratuais para clientes já atendidos.

Dossiê de credenciamento junto ao BCB

Organização documental: contrato/estatuto social, organogramas, atas, certidões, demonstrações financeiras auditadas.

Declarações formais: não enquadramento em vedações, reputação ilibada, comprovação de capital e patrimônio líquido.

Memorial descritivo da estrutura do PSTI: capacidade técnico-operacional, governança, riscos e segurança cibernética.

Fluxos de reporte e compliance contínuo

Política de reporte regulatório (Art. 30).

Procedimentos de notificação de incidentes (imediata + relatório em 10 dias).

Calendário regulatório anual: Modelos padronizados de relatórios e comunicações ao BCB.

Seguros e auditorias externas

Seguro obrigatório: definição de coberturas mínimas (fraude, riscos cibernéticos, responsabilidade civil).

Negociação com seguradoras para adequação das apólices.

Contratos de auditoria externa em segurança da informação e PLD/FT.

Revisão jurídica de relatórios de auditoria antes da submissão ao BCB.

Interlocução regulatória

Memoriais explicativos para o processo de credenciamento.

Respostas a ofícios e exigências do BCB.

Defesas técnicas em medidas cautelares (Art. 32).

Apoio em reuniões com reguladores (advogado como interlocutor institucional).

Prazos fatais da IN BCB nº 664/2025

A Instrução Normativa BCB nº 664/2025 impôs prazos imediatos para PSTIs já em funcionamento:

15 dias → implementar controles críticos de segurança (rastreabilidade de transações, múltiplos fatores de autenticação, gestão de certificados digitais, inteligência cibernética, firewalls).

30 dias → concluir a política de segurança da informação e implementar integralmente a política de gestão de fraudes.

+15 dias → entregar ao Banco Central relatório de asseguração independente, elaborado por auditor registrado na CVM, atestando o cumprimento das exigências.

O não cumprimento desses prazos pode resultar em medidas cautelares (art. 32 da Resolução 498), como restrição de operações, suspensão de serviços ou até execução de plano de saída ordenada.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Perguntas e respostas

O que é um PSTI (Provedor de Serviços de Tecnologia da Informação)?
Um Provedor de Serviços de Tecnologia da Informação, ou PSTI, é uma entidade responsável por viabilizar o acesso de instituições financeiras e de pagamento à Rede do Sistema Financeiro Nacional (RSFN).
Qual foi a principal mudança para os PSTIs com a Resolução BCB nº 498/2025?
A Resolução BCB nº 498/2025 instituiu um novo marco regulatório para os PSTIs. Com essa mudança, o credenciamento deixou de ser apenas um requisito técnico-operacional e passou a exigir também capital robusto, governança sofisticada, um conjunto de políticas internas estruturadas e a submissão à supervisão contínua pelo Banco Central do Brasil.
No contexto dos PSTIs, o que significa realizar um gap analysis regulatório?
O gap analysis regulatório, ou análise de lacunas, é um diagnóstico que consiste em comparar a estrutura e os processos atuais de um Provedor de Serviços de Tecnologia da Informação (PSTI) com os novos requisitos definidos pela Resolução BCB nº 498/2025, a fim de identificar os pontos que precisam de adequação.
Quais são os novos requisitos de governança para os PSTIs segundo a Resolução BCB nº 498/2025?
Os PSTIs precisam adequar sua estrutura societária e de governança para atender às novas exigências. Isso inclui a qualificação de controladores e administradores, que devem comprovar idoneidade, reputação e regularidade fiscal.Além disso, é necessário instituir, por meio de alterações no estatuto ou contrato social, diretores responsáveis por áreas específicas: segurança da informação, riscos e compliance, crises operacionais e relacionamento com o Banco Central. Também é exigida a criação de um Comitê de Crises Operacionais com regimento próprio.
Quais políticas internas um PSTI é obrigado a implementar?
De acordo com o novo marco regulatório, um PSTI deve implementar um conjunto robusto de políticas formais, que precisam ser aprovadas internamente e revisadas anualmente. Cada política deve conter o conteúdo mínimo previsto na norma para ter força jurídica e orientar os administradores.As políticas obrigatórias são: Política de Governança Corporativa, Política de Gestão de Riscos, Política de Segurança da Informação e Cibernética, Política de Continuidade dos Negócios, Plano de Saída Ordenada, Política de Gestão de Crises Operacionais, Política de Gestão de Incidentes, Política de Gestão de Fraudes, Política de Controles Internos e Compliance, e Política de Auditoria Interna.
O que a Resolução BCB nº 498/2025 exige nos contratos entre PSTIs e instituições supervisionadas?
Os contratos de prestação de serviços entre PSTIs e instituições financeiras ou de pagamento devem conter cláusulas obrigatórias, conforme especificado no Artigo 35 da Resolução BCB nº 498/2025. É fundamental que esses contratos incluam um parecer detalhado sobre a responsabilidade civil e a alocação de riscos para evitar a corresponsabilização indevida do PSTI em caso de problemas.
Quais documentos são necessários para compor o dossiê de credenciamento de um PSTI junto ao Banco Central?
O dossiê para o pedido de credenciamento de um PSTI junto ao Banco Central deve ser composto por uma série de documentos, incluindo:- Contrato ou estatuto social;- Organogramas da estrutura da empresa e atas de eleição de administradores;- Certidões e demonstrações financeiras auditadas;- Declarações formais, como a de não enquadramento em vedações legais, de reputação ilibada dos gestores e de comprovação de capital e patrimônio líquido;- Um memorial descritivo que detalha a capacidade técnico-operacional, a estrutura de governança, os processos de gestão de riscos e a segurança cibernética da entidade.
Quais são as obrigações de reporte e notificação de um PSTI ao Banco Central?
Um PSTI tem obrigações contínuas de comunicação com o Banco Central. Conforme o Artigo 30 da Resolução BCB nº 498/2025, a entidade deve manter uma política de reporte regulatório. Além disso, existem procedimentos específicos para a notificação de incidentes, que exigem uma comunicação imediata ao regulador, seguida da entrega de um relatório detalhado em até 10 dias.
PSTIs precisam contratar seguros ou auditorias externas?
Sim. O novo marco regulatório exige que os PSTIs contratem um seguro obrigatório com coberturas mínimas para fraude, riscos cibernéticos e responsabilidade civil. Adicionalmente, é necessária a contratação de auditorias externas especializadas em segurança da informação e em Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/FT).
Quais foram os prazos estabelecidos pela Instrução Normativa BCB nº 664/2025 para PSTIs já em funcionamento?
A Instrução Normativa BCB nº 664/2025 determinou prazos imediatos para os PSTIs que já estavam em operação se adequarem. Em 15 dias, deveriam ser implementados controles críticos de segurança, como rastreabilidade de transações, múltiplos fatores de autenticação, gestão de certificados digitais, inteligência cibernética e firewalls.Em 30 dias, a política de segurança da informação deveria ser concluída e a política de gestão de fraudes, implementada integralmente.Por fim, com mais 15 dias, era necessário entregar ao Banco Central um relatório de asseguração independente, elaborado por um auditor registrado na CVM, atestando o cumprimento dessas exigências.
Quais as consequências para um PSTI que não cumprir as novas exigências regulatórias?
O não cumprimento das exigências, como os prazos estabelecidos pela Instrução Normativa BCB nº 664/2025, pode levar à aplicação de medidas cautelares pelo Banco Central, conforme previsto no Artigo 32 da Resolução BCB nº 498/2025. Essas medidas podem incluir a restrição de operações, a suspensão de serviços ou até mesmo a execução de um plano de saída ordenada da entidade do mercado.

Autor

Foto de perfil de Thiago do Amaral Santos

Thiago do Amaral Santos

Sócio BTLaw | Professor FGV e Insper | Fintech, Meios de Pagamento, Bancos Digitais

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Artigo

A nova regulação dos PSTI (Provedores de Serviços de TI)

Artigo

PSTI: nova regulação e impactos na contratação dos serviços

Artigo

Responsabilidade Civil das Credenciadoras: análise do REsp 2.196.200/SP (STJ)