Estabelece procedimentos operacionais para o funcionamento do sistema BC Protege +, que comunica restrições a contratações no Sistema Financeiro Nacional.
A IN BCB nº 661/2025 transforma o BC Protege+ em etapa operacional obrigatória para contas abrangidas.
📌 Exige consulta prévia antes de abertura ou inclusão de titulares e representantes.
🧾 Define evidências mínimas da consulta e da resposta para apresentação ao BCB.
🔐 Impõe uso motivado, tratamento seguro dos dados e reprocessamento quando o sistema estiver indisponível.
A Instrução Normativa BCB nº 661/2025 disciplina os procedimentos operacionais necessários ao funcionamento do sistema de comunicação de restrição a contratações no Sistema Financeiro Nacional, identificado publicamente como BC Protege+. O documento é um regulamento operacional: ele não reescreve integralmente o regime de contas de depósito ou de pagamento, mas transforma a obrigação de consulta ao sistema em rotinas técnicas, evidências, canais, governança de responsáveis, tratamento de dados e condutas em caso de indisponibilidade.
O núcleo prático da norma é simples e relevante: antes de abrir determinadas contas ou incluir titulares e representantes, a instituição alcançada deve consultar o BC Protege+ e verificar se há restrição à contratação para o CPF ou CNPJ e para o produto ou serviço consultado. A consulta passa a ser uma trava operacional do onboarding e da manutenção cadastral. O processo não pode ser apenas uma etapa manual informal; ele precisa estar integrado ao fluxo de conta, gerar resposta rastreável e produzir documentação comprobatória apta a ser apresentada ao Banco Central quando solicitada.
A vigência expressa da Instrução Normativa é 1º de dezembro de 2025. Como este pacote é um retrato do documento-fonte, a análise não consolida normas posteriores nem altera status com base em publicações futuras. As normas citadas foram catalogadas para contexto, rastreabilidade e links ricos.
A norma se aplica às instituições autorizadas a funcionar pelo Banco Central do Brasil, em relação aos produtos tratados na Resolução CMN nº 4.753/2019 e na Resolução BCB nº 96/2021, conforme alterações mencionadas pela própria Instrução Normativa. Em termos operacionais, o foco está em contas de depósito à vista, contas de poupança e contas de pagamento pré-pagas, bem como na inclusão de titular ou representante nessas contas.
A segmentação do pacote foi direcionada a instituições financeiras e instituições de pagamento autorizadas pelo Banco Central, porque esses são os recortes disponíveis mais próximos no dicionário de segmentação para representar os sujeitos que operam as contas abrangidas. A aplicabilidade concreta, entretanto, depende do produto ou evento: a instituição precisa avaliar se realiza abertura das contas cobertas, inclusão de titular ou representante, ou tratamento dos dados recebidos no contexto do BC Protege+.
O anexo da norma reforça que o BC Protege+ permite que pessoas naturais e jurídicas registrem, de forma facultativa, uma solicitação para que não sejam abertas contas em seu nome e para que não sejam incluídas como titulares ou representantes em contas de terceiros. Esse trecho é relevante para compreensão do sistema, mas não cria, por si só, uma obrigação empresarial adicional além das regras operacionais dos artigos.
O primeiro bloco de requisitos trata da consulta prévia. A instituição deve consultar o BC Protege+ antes de abrir conta de depósito à vista, conta de poupança ou conta de pagamento pré-paga, e também antes de incluir titular ou representante nessas contas. Para contas de pessoa jurídica, o comando é mais granular: a consulta deve abranger tanto o CNPJ quanto o CPF de todos os titulares e representantes. Isso exige que o cadastro de pessoa jurídica esteja completo antes da consulta e que a instituição consiga vincular cada resposta ao identificador consultado.
O segundo bloco disciplina a motivação da consulta. A norma determina que a consulta seja realizada exclusivamente de forma motivada. Esse comando é importante para evitar uso exploratório, indiscriminado ou desvinculado de processo regulado. Do ponto de vista de produto e controles, a consulta deve ficar associada a um evento operacional: abertura de conta abrangida, inclusão de titular, inclusão de representante ou outro fluxo permitido pela regulamentação aplicável.
O terceiro bloco é técnico. A consulta deve ser realizada por integração com o Banco Central via mensageria MQ para instituições participantes da Rede do Sistema Financeiro Nacional, ou por Sistema de Transferência de Arquivos para instituições que não têm acesso à rede. A comunicação deve observar o Catálogo de Serviços do SFN e, conforme o canal, o Manual de Redes do SFN, o Manual de Segurança do SFN, o Manual de Utilização do STA Web e o Manual de Utilização dos Web Services do STA. Isso transforma o requisito em tema de arquitetura, homologação, monitoramento de erros e manutenção de padrões técnicos.
O quarto bloco trata de documentação comprobatória. A norma especifica que a evidência da consulta deve abranger a estrutura da consulta e a resposta. Na estrutura da consulta devem constar CPF ou CNPJ consultado, produto ou serviço contratado, identificação da instituição e data e hora. Na resposta devem constar status de permissão para contratação, código da consulta e identificação da requisição. As evidências devem estar disponíveis para apresentação ao Banco Central quando solicitadas. O documento-fonte não cria prazo de retenção próprio, portanto o pacote não inventa periodicidade ou prazo de guarda.
O quinto bloco envolve governança e contato regulatório. As instituições devem indicar ao Banco Central o diretor responsável pelo cumprimento das exigências previstas nas normas citadas e os dados de contato do empregado designado para prestar esclarecimentos, incluindo telefone e e-mail. A norma não informa, neste texto, canal, formulário ou prazo específico para essa indicação. Por isso, o requisito foi tratado como entrega regulatória sem canal ou prazo inventado.
O sexto bloco trata de dados pessoais. As instituições devem tratar os dados recebidos com as finalidades exclusivas determinadas pela Resolução BCB nº 475/2025, efetuando recepção, processamento e eliminação dos dados pessoais de forma segura. Esse requisito envolve privacidade, segurança da informação, governança de dados, controles de acesso, trilha de auditoria e descarte seguro.
O sétimo bloco cuida da indisponibilidade. A norma afirma que eventual indisponibilidade temporária do BC Protege+, por instabilidade ou manutenção programada, não caracteriza situação excepcional para abertura da conta ou alteração de titular ou representante. A instituição deve postergar a conclusão do processo até o restabelecimento do sistema e providenciar o reprocessamento das solicitações. Este é um ponto operacional sensível: indisponibilidade não é autorização para seguir sem consulta.
A implantação tende a exigir ajustes em onboarding, cadastro de pessoa jurídica, canais digitais, sistemas de abertura de conta, filas operacionais, registros de evidência e governança de dados. A área de cadastro ou PLD/KYC tende a ser dona operacional dos fluxos de consulta e validação de identificadores. Tecnologia e segurança precisam garantir integração, logs, resposta, tratamento de falhas e segregação de dados. Compliance e riscos devem monitorar aderência, exceções, evidências e preparação para solicitações do Banco Central.
Um ponto importante é a granularidade de evidência. Não basta registrar que a consulta foi feita; o art. 6º exige campos específicos da estrutura da consulta e da resposta. Em uma revisão de aderência, a instituição deve conseguir demonstrar, por amostra, que cada conta aberta ou alteração de titular/representante tem consulta compatível, anterior à conclusão e com resposta rastreável.
Também há impacto relevante em contas de pessoa jurídica. A obrigação de consultar CNPJ e CPFs de todos os titulares e representantes torna necessário um vínculo robusto entre cadastro societário, poderes de representação e consulta ao sistema. Fluxos com inclusão posterior de representantes não podem ficar fora do gatilho de consulta.
As principais evidências esperadas são logs de consulta, dossiês de abertura ou alteração de conta, lista de representantes de pessoa jurídica, respostas recebidas do sistema, registros de motivação da consulta, documentação técnica de integração, evidências de homologação, relatórios de falhas e pacotes de evidência para apresentação ao Banco Central.
Os controles sugeridos foram construídos em torno de quatro linhas práticas. A primeira é preventiva: bloquear a conclusão de abertura ou alteração sem consulta válida. A segunda é sistêmica: capturar automaticamente os campos mínimos definidos pela norma. A terceira é detectiva: reconciliar consultas, contas abertas e alterações cadastrais. A quarta é corretiva: manter fila e reprocessamento para indisponibilidade do BC Protege+.
As áreas internas mais envolvidas são cadastro/PLD/KYC, operações de contas, tecnologia, privacidade, compliance, riscos e diretoria. A diretoria aparece apenas no requisito de indicação formal ao Banco Central e na governança da responsabilidade. Jurídico-regulatório foi incluído pontualmente na indicação de responsável, porque pode apoiar a interpretação e o relacionamento com autoridade, mas não foi usado como público genérico para todos os requisitos.
O art. 1º foi tratado como definição e escopo do sistema, sem requisito próprio, porque sua função é apresentar o objeto da Instrução Normativa. O art. 2º foi tratado como escopo e refletido na segmentação e na aplicabilidade dos requisitos. O art. 4º, § 1º, foi registrado como ponto de apoio sobre o conteúdo da resposta do sistema; sua utilidade prática aparece principalmente no requisito de documentação comprobatória. O art. 4º, § 2º, trata da responsabilidade exclusiva do Banco Central pela transmissão dos dados e não gera ação empresarial própria.
O art. 9º foi mantido como ponto de definição sobre disponibilidade do sistema. Ele informa que o acesso a consultas contempla disponibilidade 24 horas por dia e 7 dias por semana, ressalvadas manutenções programadas ou emergenciais, mas não cria uma rotina empresarial autônoma. Seu efeito operacional mais relevante aparece no art. 10, que foi convertido em requisito: em caso de indisponibilidade, a instituição deve postergar e reprocessar.
O art. 11 foi tratado como competência fiscalizatória do Banco Central. Ele reforça o risco regulatório e a necessidade de guarda das informações, mas não foi convertido em requisito separado porque as ações empresariais verificáveis já estão nos requisitos de uso correto do sistema, documentação comprobatória e guarda de evidências. O art. 12 foi usado para a vigência operacional de todos os requisitos.
O primeiro ponto de atenção é a inexistência, no documento-fonte, de prazo de retenção específico para a documentação comprobatória. A instituição deve manter as evidências disponíveis para apresentação ao Banco Central quando solicitadas, mas eventual prazo de guarda deve ser definido por outras regras aplicáveis ou pela política interna, não por extrapolação deste pacote.
O segundo ponto é a ausência, no texto da Instrução Normativa, de canal ou formulário específico para a indicação do diretor responsável e do empregado designado. O pacote preserva essa lacuna: cria o entregável, mas não inventa canal, código ou prazo.
O terceiro ponto é a indisponibilidade do sistema. O art. 10 reduz margem de decisão operacional ao afirmar que indisponibilidade não caracteriza situação excepcional para seguir com abertura ou alteração. Isso exige desenho claro de fila, bloqueio, comunicação interna e reprocessamento.
O quarto ponto é o tratamento de dados pessoais. A norma usa linguagem ampla sobre finalidade exclusiva, recepção, processamento e eliminação segura. A execução concreta dependerá de controles já existentes de privacidade e segurança, mas o requisito não deve ser tratado como meramente acessório: ele afeta dados recebidos de sistema regulatório e pode ser testado por trilhas de acesso, finalidade e descarte.
A IN BCB nº 661/2025 deve ser implementada como controle de entrada e alteração cadastral, não como obrigação documental isolada. O processo ideal combina trava sistêmica antes da conclusão, consulta motivada, integração técnica aderente aos padrões do BCB, armazenamento completo da resposta, governança de dados pessoais e rotina de exceção para indisponibilidade.
Para priorização, os requisitos mais críticos são: consulta prévia antes da abertura ou inclusão, consulta completa para pessoa jurídica, documentação comprobatória das consultas, tratamento seguro e finalístico dos dados, e postergação com reprocessamento em indisponibilidade. A indicação de diretor e contato é igualmente obrigatória, mas seu risco operacional tende a estar mais ligado à governança e ao relacionamento com o regulador do que à execução diária das contas.
Este artefato ainda não tem tags.
