Criptoativos: ouvidoria, compliance e cibersegurança das SPAVs (Res. BCB 552/26)

A Resolução BCB nº 552/2026 inclui as sociedades prestadoras de serviços de ativos virtuais (SPAVs) no âmbito de aplicação de normas relacionadas a ouvidoria, compliance, segurança cibernética e nuvem, auditoria interna, relacionamento com clientes, controles internos, compartilhamento de indícios de fraude e política de remuneração.

As SPAVs passam a ser cobradas pelo BCB segundo padrões regulatórios típicos de instituições autorizadas, com ênfase em governança, rastreabilidade, controles e accountability.

Resolução BCB nº 28/2020 (Ouvidoria)

1. O que a norma disciplina: define a constituição e o funcionamento da ouvidoria (estrutura formal de recepção, análise e resposta a manifestações, com governança e requisitos de funcionamento) para instituições no escopo.
2. Efeitos para SPAVs: incide especialmente quando a SPAV tiver clientes pessoas naturais (incluindo empresário individual) ou ME/EPP.
3. Impacto prático: instituição de ouvidoria, com requisitos de organização, registro e resposta (e não apenas “SAC/atendimento” operacional).

• Exemplo. Bloqueio e atraso de saque: reclamações públicas recorrentes sobre “saque bloqueado” em plataformas de criptoativos evidenciam demandas que tendem a migrar do SAC para a ouvidoria como instância revisora, com tratamento formal e passível de comprovação (documentação e trilha de evidências).

Resolução BCB nº 51/2020 (Débitos em conta de pagamento pré-paga)

1. O que a norma disciplina: estabelece procedimentos para autorização e cancelamento de débitos em conta de pagamento pré-paga.
2. Efeitos para SPAVs: impõe obrigações quando a instituição atuar como instituição destinatária de recursos (instituição que recebe os recursos) e recepcionar autorização e cancelamento de débitos em conta de depósitos ou conta-salário.
3. Impacto prático: em produtos com cobranças recorrentes ou autorizações de débito conectadas a ecossistemas de contas e instituições detentoras, autorização/cancelamento devem observar prazos, procedimentos e controles (com trilha de evidências).

• Exemplo: modelos de assinatura em exchanges (mensalidades com benefícios) sinalizam estruturas em que autorização e cancelamento devem ser operacionalmente robustos quando conectados a instrumentos de pagamento.

Resolução BCB nº 65/2021 (Política de conformidade)

1. O que a norma disciplina: dispõe sobre política de conformidade/compliance (diretrizes e processos internos para assegurar aderência a normas externas e internas, com estrutura, responsabilidades e rotinas).
2. Efeitos para SPAVs: o risco de conformidade deve ser gerenciado de forma integrada aos demais riscos (integração com governança de riscos corporativos).
3. Impacto prático. Formalização mandatória de compliance com evidências: política aprovada, papéis definidos, testes/monitoramento, reporte e integração ao gerenciamento de riscos.

• Exemplo: medidas regulatórias e ações de enforcement envolvendo exchanges impulsionam o amadurecimento de compliance no setor, reforçando a expectativa de estruturas robustas em SPAVs autorizadas.

Resolução BCB nº 85/2021 (Segurança cibernética e nuvem)

1. O que a norma disciplina: trata de política de segurança cibernética (proteção e resposta a incidentes) e requisitos para contratação de processamento/armazenamento de dados e computação em nuvem (governança e gestão de terceiros críticos).
2. Impacto prático: a SPAV deve adotar governança compatível com o padrão regulatório, com política formal, gestão de risco de terceiros, controles contratuais (SLA, auditoria, subcontratação), resposta a incidentes e evidências de efetividade.

• Exemplo. Perdas em serviços centralizados são recorrentes e materialmente relevantes, reforçando a necessidade de políticas e controles formais de cibersegurança e de gestão de fornecedores críticos.

Resolução BCB nº 93/2021 (Auditoria interna)

1. O que a norma disciplina: disciplina a auditoria interna (função independente de avaliação de controles, processos e governança, com plano, relatórios e reporte aos órgãos de administração).
2. Impacto prático. Exige auditoria interna compatível com porte e complexidade: regulamento, plano, testes e relatórios com rastreabilidade (evidências auditáveis) e governança de reporte.

• Exemplo: incidentes operacionais e cibernéticos judicializados tendem a evidenciar lacunas em efetividade de controles, trilha decisória (registro e racionalidade das decisões) e segregação de funções.

Resolução BCB nº 155/2021 (Relacionamento com clientes e usuários)

1. O que a norma disciplina: estabelece princípios e procedimentos de relacionamento ao longo de pré-contratação, contratação e pós-contratação (transparência informacional, tratamento adequado e governança de jornada).
2. Impacto prático. Exige padrão regulatório de transparência e governança de jornada: informação clara sobre condições, riscos e prazos; atendimento; pós-venda; e documentação de decisões relevantes (ex.: bloqueios, restrições, reclassificações cadastrais).

Exemplo: depósitos e saques indisponíveis, bem como a comunicação ao usuário nesses eventos, evidenciam a criticidade de transparência e governança no pós-contrato (especialmente em restrições de saque).

Resolução BCB nº 260/2022 (Sistemas de controles internos)

1. O que a norma disciplina: dispõe sobre sistemas de controles internos (políticas, procedimentos e verificações para assegurar integridade operacional, conformidade e mitigação de riscos, com governança e monitoramento).
2. Impacto prático. Controles internos passam a demandar arquitetura de controle: segregação de funções, trilha de auditoria, reconciliações, gestão de acessos e testes periódicos com evidências.

• Exemplo: Falhas de segurança e perdas em exchanges demonstram como lacunas de controles podem repercutir em perdas financeiras, litigiosidade e dano reputacional.

Resolução BCB nº 343/2023 (Compartilhamento de indícios de fraude)

1. O que a norma disciplina: estabelece medidas para execução do compartilhamento de dados e informações sobre indícios de fraudes (sinais/indicadores de possível fraude), nos termos da Resolução Conjunta nº 6/2023.
2. Efeitos para SPAVs: determina implementação das medidas necessárias para a atividade do inciso V até 30/10/2026.
3. Impacto prático. Exige integração operacional e governança de registro/compartilhamento: SPAVs devem manter capacidade de registro de indícios e interoperabilidade conforme padrões aplicáveis ao compartilhamento setorial.

• Exemplo: Incidentes relevantes de fraude e segurança em serviços cripto reforçam a racionalidade de mecanismos setoriais de compartilhamento de indícios para mitigação sistêmica.

Resolução BCB nº 432/2024 (Política de remuneração de administradores)

1. O que a norma disciplina: trata da política de remuneração de administradores (governança para remuneração fixa e variável, com atenção a incentivos e compatibilidade com perfil de risco e modelo de negócio).
2. Impacto prático: requer política de remuneração desenhada para não induzir elevação imprudente de risco (ex.: incentivos que premiem volume sem considerar risco operacional/cibernético, conformidade e qualidade de atendimento).

• Exemplo: crises setoriais e colapsos de confiança em criptoativos foram associados, em reconstruções públicas, a problemas de governança e incentivos desalinhados, reforçando a relevância de políticas formais de remuneração com integração à gestão de riscos.