Resumo executivo
A Resolução BCB nº 198, de 11 de março de 2022, estrutura um regime prudencial próprio para conglomerados prudenciais do Tipo 2 e para instituições de pagamento que não integrem conglomerado prudencial. O centro da norma é o Patrimônio de Referência de Instituição de Pagamento (PRIP), sua metodologia de apuração, o requerimento mínimo correspondente e a estrutura contínua de gerenciamento de riscos que deve sustentar o regime.
No retrato-fonte deste pacote, a norma foi tratada como uma norma autônoma com um efeito revogatório pontual. O documento cria requisitos materiais próprios de capital, cálculo, governança, risco operacional, risco de liquidez, risco de crédito, retenção documental e resposta a determinações do Banco Central. O art. 28 também revoga dispositivos da Circular nº 3.681/2013, o que foi registrado em alteracoesRequisitos, sem recriar os requisitos da norma revogada.
O pacote foi marcado como revisar porque a página oficial do Banco Central foi identificada, mas seu conteúdo integral é carregado por JavaScript no ambiente de navegação usado na extração. A reconstrução artigo a artigo usou fonte auxiliar de reprodução textual e notas de redação. Por isso, recomenda-se conferência final contra o DOU ou o PDF oficial antes da promoção como curadoria certificada.
Escopo e sujeitos regulados
O escopo direto envolve duas situações: conglomerado prudencial do Tipo 2 e instituição de pagamento não integrante de conglomerado prudencial. Para o Tipo 2, o requerimento mínimo de PRIP deve ser calculado em bases consolidadas, e a estrutura de gerenciamento de riscos deve ser unificada para as instituições integrantes do mesmo conglomerado.
A segmentação do pacote usa inclusão positiva para conglomerado prudencial do Tipo 2 e instituição de pagamento. Como não há tag granular para “instituição de pagamento não integrante de conglomerado prudencial”, a expressão usa a tag de instituição de pagamento com exclusões de conglomerados Tipo 1 e Tipo 3. Esse roteamento é uma aproximação operacional: a aplicabilidade final precisa confirmar a condição jurídica e prudencial da entidade.
Também há requisitos condicionais. O art. 18 só se aplica à emissora de moeda eletrônica. Os arts. 21 e 22 só se aplicam a conglomerado do Tipo 2 com Ativo Total superior a 0,1% do PIB do Brasil, conforme critérios do Cosif e PIB divulgado pelo IBGE. Esses critérios não possuem tag específica no dicionário, então foram explicados na aplicabilidade dos respectivos requisitos.
Principais comandos operacionais
O primeiro bloco operacional trata da suficiência e da composição do PRIP. A entidade deve manter, permanentemente, PRIP superior ao requerimento mínimo. O cálculo precisa considerar componentes positivos, deduções, ajustes prudenciais e itens inelegíveis. Foram criados requisitos próprios para apuração consolidada, suficiência permanente, composição do PRIP, dedução de ajustes prudenciais e uso de depósito em conta vinculada para reenquadramento em caso de desenquadramento.
O segundo bloco trata do requerimento mínimo pelo RWAIP. O requerimento de PRIP é apurado pela aplicação do fator F’ ao RWAIP, composto por parcelas relativas aos serviços de pagamento, ao risco de crédito na abordagem simplificada e à exposição em ouro, moeda estrangeira e ativos sujeitos à variação cambial na abordagem simplificada. A parcela RWASP recebeu requisito próprio, porque depende de dados transacionais e componentes específicos: MOE, CPOS, ADQ e PISP.
O terceiro bloco trata da implantação de uma estrutura contínua de gerenciamento de riscos. A estrutura deve ser compatível com o modelo de negócio, natureza das operações, complexidade dos produtos, dimensão das exposições e perfil de riscos. Deve prever políticas, estratégias, rotinas e procedimentos documentados, reporte de exceções, monitoramento de capital, identificação prévia de riscos em mudanças relevantes e relatórios gerenciais periódicos.
O quarto bloco especifica riscos. Para risco operacional, a norma exige continuidade, segurança de dados, segurança de redes e sistemas, monitoramento de falhas, revisão de medidas de segurança, relatórios de correção, testes de robustez, segregação de ambientes de tecnologia, identificação e autenticação de usuários, autorização de transações, rastreabilidade, prevenção de fraudes, filtros de alto risco e controles de falhas na iniciação de pagamento. Para risco de liquidez, exige processos de monitoramento em diferentes horizontes, inclusive intradia, e plano de contingência. Para risco de crédito, exige limites, gestão de exposições fora do balanço, recuperação de créditos e critérios documentados para análise de instrumento pós-pago.
Impactos para compliance e controles
A norma exige integração entre capital prudencial, contabilidade, riscos, tecnologia, pagamentos, tesouraria, crédito, jurídico regulatório, contratos e governança executiva. A área de capital precisa produzir memórias de cálculo, conciliações e painéis de suficiência. A contabilidade precisa sustentar rubricas e ajustes. Riscos e controles devem assegurar que políticas, reportes, planos e bases de dados estejam documentados e revisados. Tecnologia e pagamentos participam fortemente dos controles de risco operacional, segurança, rastreabilidade, autenticação e monitoramento de transações.
Do ponto de vista de compliance, os requisitos mais sensíveis são: manter PRIP superior ao requerimento mínimo; apurar corretamente composição do PRIP e ajustes prudenciais; calcular o RWAIP e a RWASP com dados consistentes; manter estrutura contínua de riscos; tratar terceirização de funções de segurança de pagamento; gerenciar liquidez; documentar critérios de crédito em pós-pago; indicar diretor responsável; e assegurar governança do conselho ou diretoria sobre políticas, capital, liquidez e independência da área de riscos.
A resolução também traz uma cautela importante: a metodologia prudencial para apurar riscos de certas atividades não autoriza, por si só, a prática de operações ou serviços vedados, condicionados ou dependentes de autorização prévia do Banco Central. Esse ponto foi convertido em requisito de controle regulatório de novos produtos e atividades, porque pode evitar interpretação indevida da norma.
Evidências e artefatos esperados
As evidências centrais incluem memória de cálculo do PRIP, memória de cálculo do RWAIP, matriz de componentes da RWASP, mapa de ajustes prudenciais, painel de suficiência de capital, conciliação de dados transacionais e contábeis, política de gerenciamento de riscos, relatórios gerenciais periódicos, inventário de riscos relevantes, relatório de testes de segurança e continuidade, trilhas de rastreabilidade e autenticação, contratos de terceirização crítica, registros de treinamento, plano de contingência de liquidez, documento público de risco de liquidez, política de risco de crédito, dossiês de análise pós-pago, base de perdas operacionais, relatório de ativos problemáticos, ato de indicação do diretor responsável e atas de aprovação anual de políticas.
Para os conglomerados do Tipo 2 que ultrapassem o limiar de 0,1% do PIB, o pacote destaca duas frentes adicionais: base de dados de risco operacional e gerenciamento reforçado de risco de crédito. Essas frentes exigem dados estruturados, critérios de classificação, armazenamento histórico e integração com relatórios gerenciais.
Pontos de atenção de vigência e transição
O documento-fonte original estabeleceu vigência a partir de 1º de janeiro de 2023 e trouxe cronogramas transitórios para deduções prudenciais, fator F’ e percentuais dos componentes CPOS e PISP. Como esses marcos já foram superados pelo calendário do próprio texto, o requisito de cronograma transitório foi marcado como encerrado e mantido para rastreabilidade histórica. A metodologia permanente e os percentuais definitivos foram absorvidos nos requisitos de apuração de PRIP e RWASP.
Por força do princípio de retrato-fonte, o pacote não consolidou alterações posteriores. Quando a fonte auxiliar exibia notas de redação posterior, a curadoria privilegiou a redação original indicada ou evitou criar obrigação nova que tenha nascido de ato posterior. Se a intenção do usuário for um pacote consolidado vigente em 2026, recomenda-se processar expressamente os atos posteriores como documentos próprios ou solicitar uma extração consolidada.
Decisões de cobertura
Definições de risco operacional, risco de liquidez e risco de crédito foram mantidas como documentoPontos, mas não viraram requisitos isolados, porque sua função principal é orientar os requisitos materiais subsequentes. Já os comandos com ação verificável — controles de risco operacional, liquidez, crédito, governança, retenção e cálculo — foram convertidos em requisitos.
O art. 26 foi convertido em requisito condicional. Embora o dispositivo descreva poder do Banco Central, ele gera obrigação empresarial quando houver determinação específica de ações suplementares ou capital adicional com prazo de implementação. O art. 28 foi tratado como alteração normativa, não como obrigação operacional viva. O art. 29 foi mantido como ponto de vigência, sem requisito próprio.
Limitações do retrato
A principal limitação é de fonte: a identificação oficial foi confirmada na página do Banco Central, mas a leitura integral exigiu fonte auxiliar. Também há limitação de segmentação: o dicionário não possui tag para instituição de pagamento não integrante de conglomerado prudencial, emissora de moeda eletrônica, ou conglomerado do Tipo 2 acima de 0,1% do PIB. Essas condições foram explicadas nos campos de aplicabilidade e devem ser verificadas pelo cliente no workspace.
Como pacote acelerador, a extração fornece requisitos operacionais, evidências, controles, riscos e perguntas de aderência para triagem e implantação. Ela não substitui conferência jurídica final, especialmente porque a Resolução BCB nº 198 recebeu alterações posteriores que não foram consolidadas neste retrato-fonte.
