Altera regras da Resolução BCB 256 sobre Transferência Eletrônica Disponível (TED), incluindo limites para instituições que usam provedores de serviços de TI.
A Resolução BCB nº 497/2025 cria uma trava relevante para TEDs de R$15 mil ou mais emitidas via PSTI.
📌 Exige bloqueio transacional quando a instituição se conecta à RSFN por PSTI.
🔐 A exceção depende de PSTI credenciado, relatório de asseguração e controles sobre chaves, integridade e certificados.
⏳ A dispensa temporária exige pedido formal e só produz efeitos após comunicação favorável do Banco Central.
A Resolução BCB nº 497/2025 é uma norma alteradora de escopo pontual, mas com impacto operacional relevante para instituições que usam Provedor de Serviços de Tecnologia da Informação para conexão à Rede do Sistema Financeiro Nacional. Ela altera a Resolução BCB nº 256/2022, que regulamenta a Transferência Eletrônica Disponível, e cria uma trava regulatória para TEDs a favor de cliente em valor igual ou superior a R$15.000,00 quando a instituição se conecta à RSFN por meio de PSTI.
O núcleo da norma não é uma obrigação cadastral ampla nem uma rotina periódica. O principal comando é impedir a emissão de TED de maior valor em cenário considerado sensível pelo Banco Central, salvo quando a instituição demonstrar o atendimento de condições de segurança e governança. Por isso, a curadoria transforma a norma em requisitos voltados a bloqueio transacional, comprovação do credenciamento do PSTI, relatório de asseguração razoável, controles técnicos de chaves, integridade e certificados, e processo de dispensa temporária.
Como retrato-fonte, o pacote não consolida a Resolução BCB nº 256/2022 inteira. A Resolução BCB nº 497/2025 é tratada como fonte própria: apenas os comandos que nasceram nela foram convertidos em requisitos. A norma alterada aparece como texto alterado e como alvo das alterações normativas, sem duplicação dos demais requisitos históricos da regulamentação da TED.
A regra alcança instituições que se conectam à RSFN por meio de PSTI e que emitam, ou pretendam emitir, TED a favor de cliente. O recorte operacional é importante: a norma não cria um limite geral de TED para todas as instituições em todas as situações. O gatilho é a combinação entre emissão de TED a favor de cliente, valor igual ou superior a R$15.000,00 e conexão à RSFN por meio de PSTI.
A segmentação usa instituições financeiras e instituições de pagamento como tags principais porque são as categorias disponíveis mais próximas no dicionário e porque a norma se insere no contexto de instituições autorizadas, contas de liquidação, sistema de pagamentos e conexão à RSFN. Há, porém, uma limitação de roteamento: não existe tag granular para “instituição conectada à RSFN por PSTI” nem para “emissor de TED”. Por isso, todos os requisitos trazem aplicabilidade condicionada no texto humano. Na plataforma, a empresa deve validar se efetivamente usa PSTI para conexão à RSFN e se emite TEDs a favor de cliente.
A norma também introduz definições relevantes de ordem de transferência de fundos, RSFN e PSTI. Essas definições foram mantidas como pontos do documento, não como requisitos autônomos, porque não exigem, sozinhas, entrega, controle ou ação empresarial verificável. Elas servem para interpretar corretamente os requisitos operacionais que dependem desses conceitos.
O primeiro comando material é a vedação de emissão de TED a favor de cliente em valor igual ou superior a R$15.000,00 por instituição conectada à RSFN por meio de PSTI. Esse item foi classificado como proibição de criticidade alta, pois afeta diretamente o processamento de pagamentos, exige bloqueio antes da emissão da mensagem e pode gerar exposição regulatória e operacional se a instituição permitir transações fora das condições normativas.
O segundo bloco trata da hipótese em que o limite deixa de se aplicar. Para isso, a instituição deve acessar a RSFN por meio de PSTI que tenha concluído o processo de credenciamento no Banco Central e deve demonstrar, por relatório de asseguração razoável de auditoria independente registrada na CVM, que adota controles específicos. A curadoria separa esses elementos para facilitar o acompanhamento: um requisito cuida do credenciamento do PSTI, outro do relatório de asseguração, e outro dos controles técnicos que precisam existir por trás do relatório.
O terceiro bloco é técnico e de segurança. A norma exige demonstração de que a instituição não compartilha com o PSTI as chaves privadas cadastradas no Banco Central usadas para assinatura das mensagens, valida a integridade das transações antes da assinatura e utiliza certificados distintos para ambientes diferentes. Esses comandos foram convertidos em requisito próprio porque demandam controles de tecnologia, evidências técnicas, gestão de certificados, segregação de acesso e trilhas verificáveis. É o conjunto de controles que sustenta a confiabilidade da exceção ao limite.
O quarto bloco cria uma possibilidade de dispensa temporária. A instituição pode solicitar ao Banco Central dispensa da observância do limite por até 90 dias ou até que as exigências da exceção permanente sejam atendidas, o que ocorrer primeiro. O pedido deve ser instruído com documento formal que apresente garantias e descreva as medidas já adotadas para aprimoramento dos controles de segurança da informação. A aceitação depende de avaliação do Banco Central sobre a adequação dessas garantias e medidas para mitigar os riscos envolvidos.
Por fim, a dispensa somente produz efeitos a partir da comunicação formal ao participante da decisão do Banco Central que acolher a solicitação. Esse detalhe foi tratado como requisito de acompanhamento, porque evita que a instituição considere a dispensa válida desde o protocolo do pedido. A norma também prevê disciplina por ato conjunto do Deinf e do Degef, registrada como referência operacional, sem alterar o retrato-fonte da Resolução BCB nº 497/2025.
Para compliance, o ponto principal é transformar uma regra de infraestrutura de pagamentos em controle monitorável. Não basta registrar que a norma existe; a instituição precisa demonstrar como identifica TEDs alcançadas, como bloqueia operações quando não há exceção, como valida as condições de exceção e como controla eventual dispensa temporária.
O requisito de bloqueio deve conversar com o catálogo de produtos e operações, a arquitetura de conexão à RSFN, o inventário de PSTIs e os sistemas de pagamento. A aderência não será comprovada apenas por política interna. Evidências fortes incluem parâmetros de sistema, logs de rejeição, relatórios de TEDs bloqueadas, matriz de enquadramento da conexão e registros de exceção.
A exceção ao limite exige governança adicional. A instituição deve saber quais PSTIs utiliza, em quais ambientes, com qual status de credenciamento e com quais evidências. Deve também manter documentação de auditoria independente registrada na CVM quando desejar demonstrar os controles previstos. Essa documentação precisa estar coerente com a operação real em produção, cobrindo chaves, certificados e validação de integridade das mensagens.
Na dispensa temporária, compliance e jurídico-regulatório tendem a coordenar o pedido, mas a substância vem de tecnologia, segurança da informação, riscos e operações. O documento formal previsto na norma deve descrever medidas já adotadas e garantias. Isso sugere a necessidade de dossiê com evidências técnicas, aprovações internas, responsáveis, histórico de medidas e vínculo com os riscos que se pretende mitigar.
As evidências mais relevantes são de natureza técnica e operacional. Para o bloqueio do limite, a empresa deve manter parâmetros de sistema, logs de TEDs bloqueadas, relatórios de exceções e inventário de conexões à RSFN. Para a exceção de PSTI credenciado, precisa guardar comprovação de credenciamento e cadastro atualizado dos ambientes e serviços vinculados ao PSTI.
Para o relatório de asseguração razoável, as evidências incluem o próprio relatório, comprovação do registro da auditoria independente na CVM e matriz de cobertura que demonstre que os pontos exigidos pela norma foram efetivamente avaliados. O relatório deve ser conectado aos controles reais: gestão de chaves privadas, validação de integridade das transações antes da assinatura e certificados distintos por ambiente.
As áreas internas envolvidas variam por requisito. Operações de pagamentos e backoffice tendem a executar e monitorar TEDs. Tecnologia, cibersegurança e dados são essenciais para parametrização de sistemas, chaves, certificados e integridade da mensagem. Riscos e controles devem testar a efetividade dos controles e acompanhar exceções. Compliance e jurídico-regulatório coordenam interpretação, evidências regulatórias, comunicação com o Banco Central e eventual pedido de dispensa. Suprimentos e contratos podem participar quando houver contratação de auditoria independente ou revisão do contrato com PSTI.
Os controles sugeridos nesta curadoria procuram evitar dependência excessiva de revisão manual. A regra central deve ser preferencialmente sistêmica, preventiva e contínua, com monitoramento detectivo de exceções. Já a dispensa temporária exige controle por evento, com início condicionado à comunicação formal do Banco Central e encerramento pelo prazo máximo ou pelo atendimento das exigências.
O primeiro ponto de atenção é não tratar o limite como regra universal de TED. A vedação está vinculada a instituições conectadas à RSFN por meio de PSTI e à TED a favor de cliente em valor igual ou superior a R$15.000,00. Empresas que não se enquadrem nessa arquitetura ou que não emitam esse tipo de TED não devem receber o requisito como obrigação operacional viva sem análise de contexto.
O segundo ponto é não confundir exceção com dispensa temporária. A exceção do § 1º depende de PSTI credenciado e relatório de asseguração razoável demonstrando controles específicos. A dispensa do § 2º é um mecanismo transitório, dependente de solicitação e avaliação do Banco Central. Além disso, a dispensa começa apenas com comunicação formal favorável, não com a simples preparação ou protocolo do pedido.
O terceiro ponto é a qualidade do relatório de asseguração. Um relatório genérico de segurança da informação pode não ser suficiente se não cobrir os objetos exigidos pela norma. O escopo deve tratar de chaves privadas cadastradas no Banco Central, assinatura de mensagens, integridade dos dados antes da assinatura e certificados por ambiente. A evidência precisa ser verificável e alinhada com os sistemas efetivamente usados para TED.
O quarto ponto é o controle do ciclo de vida de certificados e chaves. A norma menciona explicitamente o não compartilhamento de chaves privadas com o PSTI e certificados distintos para ambientes diferentes. Isso exige governança técnica permanente: inventário, segregação, trilhas de acesso, renovação, revogação, rotação e validação de uso correto por ambiente.
As definições do art. 1º-A foram extraídas como pontos do documento, mas não foram convertidas em requisitos autônomos. A revogação do parágrafo único do art. 1º da Resolução BCB nº 256/2022 foi registrada em alteraçõesRequisitos, pois ela substitui uma definição anterior e não cria, sozinha, obrigação operacional nova para empresas.
O art. 3º, sobre entrada em vigor na data de publicação, foi refletido nos campos de vigência dos requisitos. Ele não foi convertido em requisito separado porque não há ação empresarial autônoma além de reconhecer que os comandos passaram a vigorar com a publicação da resolução.
A Instrução Normativa BCB nº 666/2025 e a Resolução BCB nº 498/2025 aparecem apenas como referências operacionais úteis. Elas não foram usadas para atualizar status, revogar, substituir ou consolidar o retrato da Resolução BCB nº 497/2025. O pacote permanece centrado no documento-fonte solicitado.
A principal limitação é de segmentação. O dicionário de tags não possui marcador específico para conexão à RSFN por PSTI, titularidade de Conta Reservas Bancárias ou Conta de Liquidação, nem para emissão de TED. Por isso, a segmentação usa categorias financeiras próximas e deixa a condição operacional explícita em cada aplicabilidade.
Outra limitação é de fonte textual: a página oficial do Banco Central para o normativo foi identificada, mas o conteúdo textual da página depende de JavaScript em algumas consultas. A extração foi validada com fonte oficial do Banco Central, incluindo a minuta anexa ao Voto 110/2025-BCB e a identificação oficial do normativo. Recomenda-se conferência humana se o uso exigir transcrição literal do texto publicado final em ambiente de auditoria formal.
Temas
