A Resolução BCB nº 498/2025 instituiu um novo marco regulatório para os Provedores de Serviços de Tecnologia da Informação (PSTIs); entidades que viabilizam o acesso de instituições financeiras e de pagamento à Rede do Sistema Financeiro Nacional (RSFN). O credenciamento deixou de ser um requisito técnico-operacional e passou a demandar capital robusto, governança sofisticada, políticas estruturadas e supervisão contínua pelo Banco Central. Nesse cenário, a assessoria de um advogado regulatório torna-se indispensável para organizar processos, reduzir riscos e dar segurança jurídica.
Diagnóstico inicial e planejamento estratégico
Gap analysis regulatório: comparação entre a estrutura atual do PSTI e os requisitos da Resolução.
Estrutura societária e de governança
Revisão da estrutura societária e qualificação de controladores e administradores (idoneidade, reputação, regularidade fiscal).
Elaboração de alterações estatutárias/contratuais para instituir diretores responsáveis por segurança da informação, riscos/compliance, crises operacionais e relacionamento com o BCB.
Regimento do Comitê de Crises Operacionais.
Minutas e revisão de atas para eleição e posse de administradores.
Políticas obrigatórias
A Resolução exige um conjunto robusto de políticas internas, que devem ser formais, aprovadas e revisadas anualmente:
- Política de Governança Corporativa;
- Política de Gestão de Riscos;
- Política de Segurança da Informação e Cibernética;
- Política de Continuidade dos Negócios;
- Plano de Saída Ordenada;
- Política de Gestão de Crises Operacionais;
- Política de Gestão de Incidentes;
- Política de Gestão de Fraudes;
- Política de Controles Internos e Compliance;
- Política de Auditoria Interna.
Cada uma dessas políticas precisa conter conteúdo mínimo previsto em norma, com força jurídica para orientar administradores.
Contratos com instituições supervisionadas
Minutas de contratos de prestação de serviços PSTI com instituições financeiras e de pagamento.
Cláusulas obrigatórias (Art. 35): Parecer sobre responsabilidade civil e alocação de riscos, para evitar corresponsabilização indevida do PSTI.
Modelos de aditivos contratuais para clientes já atendidos.
Dossiê de credenciamento junto ao BCB
Organização documental: contrato/estatuto social, organogramas, atas, certidões, demonstrações financeiras auditadas.
Declarações formais: não enquadramento em vedações, reputação ilibada, comprovação de capital e patrimônio líquido.
Memorial descritivo da estrutura do PSTI: capacidade técnico-operacional, governança, riscos e segurança cibernética.
Fluxos de reporte e compliance contínuo
Política de reporte regulatório (Art. 30).
Procedimentos de notificação de incidentes (imediata + relatório em 10 dias).
Calendário regulatório anual: Modelos padronizados de relatórios e comunicações ao BCB.
Seguros e auditorias externas
Seguro obrigatório: definição de coberturas mínimas (fraude, riscos cibernéticos, responsabilidade civil).
Negociação com seguradoras para adequação das apólices.
Contratos de auditoria externa em segurança da informação e PLD/FT.
Revisão jurídica de relatórios de auditoria antes da submissão ao BCB.
Interlocução regulatória
Memoriais explicativos para o processo de credenciamento.
Respostas a ofícios e exigências do BCB.
Defesas técnicas em medidas cautelares (Art. 32).
Apoio em reuniões com reguladores (advogado como interlocutor institucional).
Prazos fatais da IN BCB nº 664/2025
A Instrução Normativa BCB nº 664/2025 impôs prazos imediatos para PSTIs já em funcionamento:
15 dias → implementar controles críticos de segurança (rastreabilidade de transações, múltiplos fatores de autenticação, gestão de certificados digitais, inteligência cibernética, firewalls).
30 dias → concluir a política de segurança da informação e implementar integralmente a política de gestão de fraudes.
+15 dias → entregar ao Banco Central relatório de asseguração independente, elaborado por auditor registrado na CVM, atestando o cumprimento das exigências.
O não cumprimento desses prazos pode resultar em medidas cautelares (art. 32 da Resolução 498), como restrição de operações, suspensão de serviços ou até execução de plano de saída ordenada.