Em que situações a dispensa temporária do limite de TED pode ser revogada?

A dispensa temporária pode ser revogada a qualquer momento pelo Banco Central do Brasil caso a instituição:

O que é o relatório de asseguração razoável e quem pode emiti-lo?

O relatório de asseguração razoável é um documento que atesta o cumprimento dos requisitos de segurança da informação exigidos para a dispensa do limite de TED. Ele deve ser elaborado por uma firma de auditoria independente que seja registrada na Comissão de Valores Mobiliários (CVM).

O que são PSTI e RSFN?

PSTI é a sigla para Provedor de Serviços de Tecnologia da Informação. Refere-se a uma empresa que fornece infraestrutura e serviços tecnológicos para instituições financeiras se conectarem à Rede do Sistema Financeiro Nacional.

Qual é a garantia exigida para solicitar a dispensa temporária do limite de TED?

A instituição solicitante deve manter, a título de garantia, uma sobra de capital de, no mínimo, 100% sobre o volume diário máximo de TEDs realizadas para clientes a partir de sua Conta Reservas Bancárias ou Conta de Liquidação. Para essa finalidade, o período de referência para cálculo do volume máximo é entre 1º de agosto de 2025 e 29 de agosto de 2025.

Qual o objetivo da Instrução Normativa que disciplina a dispensa temporária do limite de emissão de TED por meio de PSTI?

A Instrução Normativa disciplina a dispensa temporária do limite de emissão para Transferência Eletrônica Disponível (TED) de valor igual ou superior a R$15.000,00. Essa dispensa se aplica a instituições que se conectam à Rede do Sistema Financeiro Nacional (RSFN) utilizando um Provedor de Serviços de Tecnologia da Informação (PSTI). A base legal para esta disciplina está no art. 3º-A, §§ 2º e 3º, da Resolução BCB nº 256, de 2022.

Existem exigências de segurança adicionais para instituições que usam PSTI apenas para conectividade à RSFN?

Sim. Além dos controles gerais, as instituições que utilizam um Provedor de Serviços de Tecnologia da Informação (PSTI) apenas para o serviço de conectividade à Rede do Sistema Financeiro Nacional (RSFN) devem implementar medidas adicionais. Estas incluem: criptografia, prevenção de intrusão, prevenção de vazamento de informações, proteção contra softwares maliciosos, gestão de cópias de segurança, avaliação e correção de vulnerabilidades (com testes periódicos), política de controle de acesso (com múltiplos fatores de autenticação), aplicação regular de correções de segurança, proteção de rede com regras de firewall, segregação de ambientes computacionais, gestão de certificados digitais e uma política de gestão de fraudes com canais de reporte.

Quais controles de segurança são exigidos de instituições que usam PSTI para processamento e conectividade na emissão de TEDs?

A instituição deve atestar a implementação de diversos controles de segurança. Os principais são:

Como uma instituição deve protocolar a solicitação de dispensa do limite de TED?

A instituição deve protocolar as informações e os documentos necessários por meio do Protocolo Digital do Banco Central do Brasil. Ao fazer o envio, é preciso selecionar o assunto "Documentos para avaliação de dispensa dos limites estabelecidos – TED – PSTI" e destinar o processo ao Departamento de Gestão Estratégica e Supervisão Especializada (Degef).

Como é calculada a 'sobra de capital' para a garantia da dispensa de limite de TED?

A sobra de capital, utilizada como garantia, é definida de maneiras diferentes conforme o tipo e o segmento da instituição, sempre de acordo com a regulamentação vigente:

Quem é o responsável por assinar o pedido de dispensa temporária de limite de TED na instituição?

O pedido de dispensa deve ser assinado por um Diretor estatutário da instituição que seja o responsável designado pela política de segurança cibernética. Este diretor se compromete com a veracidade das informações apresentadas ao Banco Central do Brasil e está sujeito às penalidades previstas na Lei nº 13.506, de 13 de novembro de 2017.

Instrução Normativa BCB N° 666 | Banco Central

Q: Como uma instituição financeira pode solicitar a dispensa temporária do limite de emissão de TED ao usar um PSTI?

Para obter a dispensa temporária de 90 dias do limite de emissão de TED, a instituição deve protocolar uma solicitação ao Banco Central do Brasil. A solicitação precisa ser acompanhada de um documento formal que demonstre a constituição da garantia financeira exigida, descreva as medidas de segurança da informação implementadas e inclua um relatório de asseguração razoável emitido por uma firma de auditoria independente.

Q: Qual a duração da dispensa temporária do limite de TED e ela pode ser prorrogada?

A dispensa temporária do limite de emissão de TED é concedida pelo prazo de 90 dias. Ela pode ser prorrogada por sucessivos períodos de, no máximo, 90 dias cada, desde que a instituição não tenha apresentado deficiências ou falhas operacionais graves nos períodos anteriores. A prorrogação é possível até que a instituição cumpra integralmente as exigências previstas no § 1º do art. 3º-A da Resolução BCB nº 256, de 1º de novembro de 2022.

Esta Instrução Normativa estabelece as regras para que instituições financeiras conectadas à Rede do Sistema Financeiro Nacional (RSFN) por meio de um Provedor de Serviços de Tecnologia da Informação (PSTI) possam solicitar uma dispensa temporária do limite de R$15.000,00 para emissão de Transferência Eletrônica Disponível (TED). A medida visa permitir operações de maior valor, desde que a instituição comprove robustos controles de segurança e aporte garantias adicionais.

Como solicitar a dispensa temporária (90 dias)

Para obter a autorização, a instituição deve protocolar um pedido formal junto ao Banco Central, instruído com a seguinte documentação:

Comprovação de Garantia: Documento que demonstre a constituição de uma garantia financeira, na forma de sobra de capital.
Descrição das Medidas de Segurança: Detalhamento dos controles de segurança da informação implementados, conforme exigido pela norma.
Relatório de Auditoria: Um relatório de asseguração razoável, elaborado por uma firma de auditoria independente registrada na CVM, atestando o cumprimento dos requisitos de segurança.

A dispensa só se torna efetiva após a comunicação formal da decisão conjunta dos departamentos Deban, Deinf e Degef do Banco Central.

Requisito de Garantia Financeira

A instituição solicitante deve manter uma sobra de capital de, no mínimo, 100% sobre o volume diário máximo de TEDs realizadas para clientes durante o período de 1º a 29 de agosto de 2025. A norma define o cálculo da "sobra de capital" para diferentes tipos de conglomerados e instituições (segmentos S1 a S5 e tipo 2).

É crucial notar que esta garantia é cumulativa com a exigência similar para a dispensa do limite de Pix, estabelecida na Instrução Normativa BCB nº 667/2025.

Controles de Segurança da Informação Exigidos

A instituição deve atestar a implementação de uma série de controles rigorosos, divididos em dois níveis:

Controles Gerais (para todos os usuários de PSTI):

Não compartilhar ou armazenar chaves privadas de assinatura de mensagens no ambiente do PSTI.
Revogar certificados antigos que estavam acessíveis ao PSTI e substituí-los no Sistema de Transferência de Reservas (STR) e no Sistema de Transferência de Fundos (SITRAF).
Utilizar certificados digitais distintos para ambientes diferentes.
Realizar monitoramento de fraudes em tempo real (dias úteis, das 6h às 19h) para identificar transações atípicas em valor, volume ou frequência.
Possuir mecanismos para interromper o processamento em caso de suspeita de comprometimento do sistema.

Controles Adicionais (para quem usa PSTI apenas para conectividade):

Este cenário exige um conjunto ainda mais abrangente de medidas de segurança cibernética, incluindo:

Proteção de Dados: Criptografia, prevenção de intrusão e vazamento de dados, e proteção contra softwares maliciosos.
Rastreabilidade e Auditoria: Trilhas de auditoria fim a fim, gestão de logs e retenção segura.
Gestão de Vulnerabilidades: Testes periódicos, varreduras de ambiente e testes de intrusão.
Controle de Acesso: Acesso restrito a usuários autorizados, revisão periódica de permissões e uso de múltiplos fatores de autenticação (MFA) para acessos externos e administrativos.
Proteção de Rede: Regras de firewall, monitoramento de conexões (especialmente em horários não convencionais) e prevenção de conexões indevidas.
Segregação de Ambientes: Isolar física e logicamente o ambiente de processamento de TEDs, especialmente em nuvem pública.

Responsabilidade, Prorrogação e Revogação

O pedido de dispensa deve ser assinado pelo Diretor estatutário responsável pela política de segurança cibernética. A dispensa de 90 dias pode ser prorrogada por períodos sucessivos, desde que não ocorram falhas operacionais graves. No entanto, a autorização pode ser revogada a qualquer momento em caso de deficiências operacionais, informações de capital desatualizadas ou não cumprimento da exigência de garantia.

Para a submissão, o processo deve ser feito via Protocolo Digital do Banco Central, com o assunto "Documentos para avaliação de dispensa dos limites estabelecidos – TED – PSTI", destinado ao Degef.

INSTRUÇÃO NORMATIVA BCB Nº 666, DE 22 DE SETEMBRO DE 2025

Disciplina a dispensa da observância do limite de emissão de Transferência Eletrônica Disponível – TED de valor igual ou superior a R$15.000,00 (quinze mil reais) por instituição que se conecta à Rede do Sistema Financeiro Nacional – RSFN por meio de Provedor de Serviços de Tecnologia da Informação – PSTI.

O Chefe do Departamento de Tecnologia da Informação – Deinf, o Chefe do Departamento de Gestão Estratégica e Supervisão Especializada – Degef e o Chefe do Departamento de Operações Bancárias e de Sistema de Pagamentos – Deban, no uso das suas atribuições, tendo em vista o disposto no art. 23, inciso I, alínea “a”, no art. 70, inciso I, alínea “a”, e no art. 112, inciso IV, alíneas “a” e “b”, todos do Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB nº 340, de 21 de setembro de 2023, e o art. 3º-A, § 3º, inciso II, da Resolução BCB nº 256, de 1º de novembro de 2022,

R E S O L V E M :

Art. 1º Esta Instrução Normativa disciplina a dispensa temporária de que trata o art. 3º-A, §§ 2º e 3º, da Resolução BCB nº 256, de 2022, incidente sobre o limite de emissão de Transferência Eletrônica Disponível – TED de valor igual ou superior a R$15.000,00 (quinze mil reais) por instituição que se conecta à Rede do Sistema Financeiro Nacional – RSFN por meio de Provedor de Serviços de Tecnologia da Informação – PSTI.

Art. 2º Para a obtenção de dispensa, pelo prazo de noventa dias, do limite máximo de que trata o art. 1º, a instituição deve protocolizar solicitação instruída com documento formal que demonstre a constituição da garantia de que trata o art. 3º e descreva as medidas adotadas para a implementação dos controles de segurança da informação descritos nos arts. 4º e 5º, devendo ainda ser acompanhado do relatório de asseguração razoável de que trata o art. 6º.

Parágrafo único. A dispensa temporária do que trata o caput só produzirá efeitos a partir da comunicação formal ao participante da decisão conjunta do Departamento de Operações Bancárias e de Sistema de Pagamentos (Deban), do Departamento de Tecnologia da Informação (Deinf) e do Departamento de Gestão Estratégica e Supervisão Especializada (Degef), após análise da documentação apresentada pela instituição.

Art. 3º A instituição solicitante, a título de garantia, deverá manter, no mínimo, sobra de capital no montante de 100% (cem por cento) sobre o volume diário máximo de TED realizadas em favor de clientes a partir de sua Conta Reservas Bancárias ou de sua Conta de Liquidação, a depender do caso, no período compreendido entre 1º de agosto de 2025 e 29 de agosto de 2025.

§ 1º A sobra de capital, cujo valor, para fins da garantia de que trata esta Instrução Normativa, corresponderá, no mínimo ao montante previsto no caput, é definida como:

I - para os conglomerados e instituições tipo 1 e tipo 3 pertencentes aos segmentos S1 a S4, o menor excedente de capital em relação aos requerimentos de mínimos de Capital Principal, Nível I e Patrimônio de Referência, apurados nos termos da regulamentação vigente;

II - para os conglomerados e instituições tipo 1 e tipo 3 pertencentes ao segmento S5, o excedente de capital em relação ao requerimento de mínimo de Patrimônio de Referência S5 (PRS5), apurado nos termos da regulamentação vigente; e

III - para os conglomerados e instituições tipo 2, o excedente de capital em relação ao requerimento de mínimo de Patrimônio de Referência IP (PRIP), apurado nos termos da regulamentação vigente.

§ 2º A exigência a que se refere o caput será cumulativa com a garantia apresentada com base na Instrução Normativa BCB nº 667, de 22 de setembro de 2025.

§ 3º O Banco Central do Brasil poderá requerer a apresentação de garantia adicional caso o volume diário máximo de TED realizadas em favor de clientes a partir da Conta Reservas Bancárias ou da Conta de Liquidação da instituição, a depender do caso, apresente, durante o tempo em que perdurar a dispensa, valor superior ao do montante de que trata o caput.

Art. 4º Para o caso em que são utilizados serviços de processamento de dados relativos à emissão de TED e de conectividade para acesso à RSFN providos por PSTI, a instituição deve atestar que:

I - não compartilha com o PSTI, ou armazena no ambiente desse provedor, as chaves privadas, relativas aos certificados digitais cadastrados no Banco Central do Brasil, que são utilizadas para a assinatura das mensagens;

II - os certificados digitais, relativos às chaves privadas utilizadas para a assinatura das mensagens que estivessem no ambiente do PSTI ou às quais o PSTI tivesse acesso, foram revogados pela respectiva autoridade certificadora e substituídos no Sistema de Transferência de Reservas – STR, operado pelo Banco Central do Brasil, e no Sistema de Transferência de Fundos – SITRAF, operado pela Núclea;

III - utiliza certificados digitais distintos para ambientes diferentes;

IV - implementa revisão periódica e tempestiva das permissões de acesso, em especial, de colaboradores terceirizados com acesso ao ambiente computacional da instituição e à operação de reserva;

V - em relação à gestão de fraudes:

a) valida a integridade das transações antes de sua assinatura, assegurando que as informações não tenham sido fraudulentamente geradas, corrompidas ou manipuladas durante o processo de geração da mensagem; e

b) realiza monitoramento em dias úteis das 6h00 às 19h00 para identificação em tempo real, com base em padrões históricos e comportamentais, de transações atípicas ou fraudulentas, avaliando desvios em relação aos parâmetros esperados no que se refere, inclusive:

1. aos valores transacionados;

2. ao volume de transações; e

3. à quantidade de transações por unidade de tempo; e

VI - possui mecanismos para a interrupção do processamento de transações em caso de suspeita de grave comprometimento de seus sistemas ou dos sistemas do PSTI contratado.

Art. 5º Para os casos em que é utilizado apenas o serviço de conectividade provido por PSTI para o acesso à RSFN, além das exigências previstas no art. 4º, a instituição deve atestar que:

I - implementa mecanismos de criptografia, de prevenção e detecção de intrusão, de prevenção de vazamentos de informações e de proteção contra softwares maliciosos;

II - implementa mecanismos de rastreabilidade de transações que contemplem, no mínimo:

a) trilhas de auditoria do processamento fim-a-fim dos dados e das informações, incluindo a definição e a geração de logs que possibilitem identificar falhas de processamento ou comportamento atípicos, bem como subsidiar análises;

b) definição de tempo de retenção de informações de acordo com o tipo de processamento realizado; e

c) retenção segura das trilhas de auditoria;

III - implementa gestão de cópias de segurança dos dados e das informações;

IV - realiza avaliação e a correção de vulnerabilidades que contemplem no mínimo:

a) testes e análises periódicas para detecção de vulnerabilidades em sistemas de informação;

b) varreduras físicas periódicas do ambiente tecnológico que possibilitem identificar dispositivos indevidamente conectados à rede corporativa que possam estabelecer conexão com ativos de tecnologia externos;

c) análises periódicas do ambiente tecnológico com o objetivo de identificar vulnerabilidades que possam comprometer a segurança dos ativos de tecnologia; e

d) testes de intrusão periódicos.

V - implementa política de controle de acesso que contemple, no mínimo:

a) mecanismos para limitar o acesso à rede corporativa a usuários e dispositivos autorizados;

b) revisão periódica e tempestiva das permissões de acesso, em especial, de colaboradores terceirizados com acesso ao ambiente computacional da instituição;

c) estabelecimento de múltiplos fatores de autenticação para acesso à rede corporativa a partir de ambientes externos; e.

d) acesso administrativo com o uso de múltiplos fatores de autenticação, para os ambientes internos de processamento da TED;

VI - possui processo de avaliação e aplicação regular das correções de segurança;

VII - implanta mecanismos de proteção da rede que contemplem, no mínimo:

a) estabelecimento de regras de firewall, assim como o monitoramento de conexões, evitando-se tentativas de conexão com sistemas críticos provenientes de ativos de tecnologia localizados fora da rede corporativa da instituição;

b) definição de critérios para o estabelecimento e o monitoramento de conexões com ambientes externos, em especial em horário noturno ou não convencional;

c) mecanismos para identificar e prevenir conexões indevidas a ambientes externos a partir do ambiente computacional da instituição; e

d) implementação e manutenção de processos e ferramentas para identificação, análise e tratamento de eventos atípicos no ambiente, a exemplo da abertura de virtual private networks – VPN e de tentativas de acesso privilegiado, especialmente em horário noturno ou não convencional, assim como análise da implantação de controles mais robustos que mitiguem riscos de acessos indevidos nessas ocasiões.

VIII - segrega os ambientes computacionais, limitando o acesso ao ambiente de produção e aos recursos computacionais críticos;

IX - isola física e logicamente do ambiente de processamento das TEDs dos demais sistemas, mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de nuvem pública;

X - realiza a gestão de certificados digitais que contemple, no mínimo:

a) o monitoramento do uso de certificados digitais e controles para a guarda dessas informações; e

b) a validação de certificados revogados junto às autoridades certificadoras;

XI - implementa política de gestão de fraudes, com adoção das seguintes medidas:

a) estabelecimento de canal para reporte de indícios de fraudes; e

b) estabelecimento de sistema de identificação em tempo de transações atípicas ou fraudulentas, avaliando desvios em relação aos parâmetros esperados.

Art. 6º O preenchimento dos requisitos de que tratam os arts. 4º e 5º deverá ser atestado por relatório de asseguração razoável elaborado por firma de auditoria independente registrada na Comissão de Valores Mobiliários – CVM, o qual deverá ser apresentado ao Banco Central do Brasil para a protocolização do pedido de que trata o art. 2º.

§ 1º A firma de auditoria independente contratada pela instituição deverá possuir capacidade técnica, administrativa e operacional compatível com o desempenho dos trabalhos de asseguração razoável previstos nesta Instrução Normativa.

§ 2º O Banco Central do Brasil poderá indeferir o pedido de dispensa temporária ou adotar a providência de que trata o art. 9º se detectar, a qualquer tempo, que a firma de auditoria contratada não atende aos requisitos do § 1º e às normas e aos procedimentos de auditoria determinados pela CVM e pelo Conselho Federal de Contabilidade.

Art. 7º O pedido de que trata o art. 2º deverá ser assinado por Diretor estatutário responsável pela política de segurança cibernética, designado pela instituição conforme regulamentação em vigor, que se comprometerá pela veracidade das informações apresentadas ao Banco Central do Brasil, sujeitando-se às medidas previstas na Lei nº 13.506, de 13 de novembro de 2017.

Art. 8º A dispensa temporária de que trata o art. 1º poderá ser prorrogada por sucessivos períodos de, no máximo, noventa dias, até que a instituição atenda as exigências previstas no § 1º do art. 3º-A da Resolução BCB nº 256, de 1º de novembro de 2022, e desde que não tenha apresentado deficiências ou falhas operacionais graves durante os períodos de dispensa anteriores.

Art. 9º A dispensa temporária de que trata o art. 1º poderá ser revogada, a qualquer tempo, caso a instituição:

I - apresente deficiências ou falhas operacionais graves;

II - mantenha informações desatualizadas sobre seu capital; ou

III - não observe o disposto nos art. 3º.

Art. 10. Ao protocolizar as informações e os documentos requeridos nesta Instrução Normativa, as instituições deverão selecionar, no Protocolo Digital do Banco Central do Brasil, o assunto “Documentos para avaliação de dispensa dos limites estabelecidos – TED – PSTI” para destinação ao Degef.

Art. 11. Esta Instrução Normativa entra em vigor na data de sua publicação.

CAIO MOREIRA FERNANDES ARISTIDES ANDRADE CAVALCANTE NETO

Chefe do Deinf Chefe do Degef

FABIO MARTINS TRAJANO DE ARRUDA

Chefe do Deban

Instrução Normativa BCB N° 666

Registros selecionados

Resumo

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs regulatórios com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes