Comunica a ativação dos novos certificados digitais do Banco Central para os ambientes de homologação e produção nos sistemas SPI/ICOM, DICT e ARQ.
O Comunicado nº 43.055/2025 trata da ativação de certificados digitais do Banco Central no SPI/ICOM, DICT e ARQ.
📌 Há prazos únicos e janelas de convivência para homologação e produção.
⚠️ O maior impacto está na troca técnica em produção e no aceite temporário de certificados anteriores.
🔐 A instituição participante da RSFN também deve controlar permissões de acesso ao sítio onde os certificados são disponibilizados.
O Comunicado nº 43.055, de 10 de abril de 2025, do Banco Central do Brasil, é um ato operacional voltado à ativação de certificados digitais do próprio Banco Central, ISPB 00038166, usados nos canais e nas assinaturas do SPI/ICOM, DICT e ARQ na Rede do Sistema Financeiro Nacional. O documento separa a transição em ambiente de homologação e ambiente de produção, com certificados, endpoints, prazos e janelas de convivência específicos.
O principal impacto para empresas não está em uma nova política corporativa ampla, mas na execução controlada de mudança técnica em infraestrutura crítica. A instituição participante da RSFN que utiliza os sistemas afetados precisa ativar os certificados indicados, preparar seus sistemas para aceitar certificados novos e anteriores durante as janelas de convivência, acompanhar o comportamento em homologação e manter governança de acesso ao sítio da RSFN em que os certificados são disponibilizados.
O retrato-fonte gerado aqui não consolida atos posteriores e não atualiza a situação dos certificados por comunicados subsequentes. Os prazos únicos de homologação e produção foram tratados como requisitos históricos encerrados quando o próprio Comunicado fixou datas já ultrapassadas. Já os itens sem fim expresso, como a responsabilidade pelas permissões de acesso ao sítio da RSFN, foram mantidos como ativos no retrato-fonte.
O documento se dirige, na prática, às instituições participantes da RSFN que utilizam SPI/ICOM, DICT e ARQ nos ambientes de homologação e produção. O texto não traz uma lista de naturezas jurídicas específicas, como banco múltiplo, instituição de pagamento ou cooperativa de crédito. O critério material é operacional: participação na RSFN e uso dos sistemas e endpoints afetados.
Para a segmentação do pacote, foi usada a tag ampla do setor financeiro, com aviso de limitação. Essa escolha evita inventar uma tag inexistente para participante da RSFN ou participante do SPI, mas pode gerar falso positivo para empresas financeiras que não participam desses ambientes. Por isso, cada requisito deixa claro que a aplicabilidade efetiva depende de participação na RSFN e uso dos ambientes ou serviços mencionados.
O Comunicado não cria obrigação para empresas em geral e não deve ser roteado como norma transversal. Também não alcança, por si só, empresas de tecnologia, criptoativos, seguros ou mercado de capitais apenas por proximidade temática, salvo se elas forem participantes da RSFN e utilizarem os sistemas afetados.
O primeiro bloco operacional trata do ambiente de homologação. O Banco Central informa que os novos certificados são T514, para canal, e T515, para assinatura. A ativação afeta os endereços de homologação do DICT, ICOM, ICOM-SEC e ARQ, além da assinatura das mensagens e respostas geradas pelo Banco Central na ICOM e no DICT. O comando verificável é ativar esses certificados até 23 de abril de 2025, às 9h, no horário oficial de Brasília.
Ainda em homologação, o Comunicado estabelece uma janela de convivência entre 23 de abril de 2025, às 9h, e 24 de abril de 2025, às 18h. Nesse período, algumas mensagens poderiam ser assinadas com T515 ou T513, e alguns endpoints poderiam utilizar T514 ou T512. O ponto operacional é que os participantes deveriam aceitar também os certificados anteriores, que permaneciam válidos e ativos nessa janela.
O terceiro item do Comunicado recomenda que os participantes acompanhem o comportamento dos sistemas a partir de 23 de abril de 2025, porque o ambiente de homologação simularia os procedimentos de produção. Esse ponto foi tratado como requisito do tipo Recomendação, pois é verificável por logs, relatórios de monitoramento, tickets e evidências de acompanhamento técnico.
O bloco de produção traz os certificados P512, para canal, e P513, para assinatura. A ativação afeta os endpoints produtivos do DICT, ICOM, ICOM-SEC e ARQ, além da assinatura de mensagens e respostas geradas pelo Banco Central na ICOM e no DICT. O prazo para ativação em produção foi 10 de maio de 2025, às 23h59, horário oficial de Brasília.
A janela de convivência em produção ocorreu entre 11 de maio de 2025, às 0h, e 12 de maio de 2025, às 23h59. Nesse período, algumas mensagens poderiam ser assinadas com P513 ou P511, e alguns endpoints poderiam utilizar P512 ou P510. O comando operacional foi aceitar também os certificados anteriores para evitar rejeições indevidas durante a transição produtiva.
Por fim, o Comunicado informa que os certificados digitais estão disponíveis no sítio da RSFN e que o acesso é autorizado apenas para instituições participantes. Ele atribui a cada instituição a responsabilidade pelas permissões de acesso de seus usuários. Esse ponto foi convertido em requisito autônomo porque gera ação empresarial verificável: controlar concessão, revisão e revogação de acessos ao sítio da RSFN.
A norma exige atuação coordenada principalmente entre tecnologia, operações de pagamentos e equipes responsáveis por canais e mensageria. Compliance regulatório não é o executor natural da troca técnica, mas pode acompanhar evidências em instituições que centralizam obrigações regulatórias em uma plataforma de GRC. Riscos e controles podem participar na revisão de governança de mudanças, monitoramento pós-implantação e evidências de aderência.
A principal preocupação de compliance é garantir que a mudança de certificados tenha sido tratada como evento regulatório operacional, com responsável, prazo, evidência e trilha de aprovação. A instituição deve conseguir demonstrar que interpretou corretamente os certificados aplicáveis a cada ambiente, preparou os endpoints impactados, respeitou as janelas de convivência e manteve controle dos usuários com acesso à RSFN.
Em produção, o risco é mais material. Falhas de ativação ou bloqueio prematuro de certificados anteriores poderiam causar rejeição de mensagens, indisponibilidade parcial, erros de assinatura ou interrupção em fluxos ligados ao SPI, DICT, ICOM ou ARQ. Por isso, os requisitos de produção receberam criticidade alta, enquanto os itens de homologação foram calibrados como média, por estarem ligados a preparação e simulação.
As evidências mais relevantes são registros de mudança técnica, logs de ativação, validações de endpoints, relatórios de testes, evidências de assinatura aceita, tickets de incidente e relatórios de monitoramento pós-implantação. Para a gestão de permissões ao sítio da RSFN, as evidências incluem matriz de acessos, solicitações aprovadas, histórico de revogações e registros de revisão de usuários.
Os controles sugeridos devem focar em mudança controlada e validação técnica. Para homologação, controles de configuração e testes de endpoints são suficientes na maioria dos casos. Para produção, recomenda-se plano de implantação, aprovação de mudança, validação pós-implantação e monitoramento intensivo da janela de convivência. Para acessos à RSFN, controles de identidade e acesso são mais apropriados: concessão autorizada, revisão de permissões e revogação quando o usuário deixar de precisar do acesso.
As áreas internas mais diretamente envolvidas são tecnologia e segurança, operações de pagamentos ou Pix, backoffice operacional e, em alguns controles, riscos e controles. Jurídico-regulatório não foi incluído como público padrão porque o Comunicado é técnico-operacional e não envolve interpretação jurídica complexa, contrato, litígio ou relação sancionadora. Diretoria também não foi incluída por padrão, pois o texto não exige aprovação de administração ou alçada executiva específica.
O primeiro ponto de atenção é a natureza histórica de parte dos requisitos. Os prazos de ativação e janelas de convivência já se encerraram, e foram marcados como encerrados no pacote porque as datas constam expressamente do próprio Comunicado. Esses registros ainda são úteis para auditoria, evidência de execução e rastreabilidade de eventos regulatórios operacionais.
O segundo ponto é a segmentação. O texto fala em participantes da RSFN e sistemas específicos, mas o dicionário de tags disponível não tem recorte granular para esse sujeito. A tag ampla do setor financeiro deve ser usada com cuidado na importação: empresas fora da RSFN ou que não utilizem SPI/ICOM, DICT ou ARQ não devem tratar esses itens como aplicáveis apenas por atuarem no setor financeiro.
O terceiro ponto é a separação entre obrigação, recomendação e referência operacional. O canal de suporte do Banco Central foi mantido como documentoPonto e referência operacional, sem criar requisito autônomo, porque sua função é direcionar dúvidas sobre ativação. Já a responsabilidade pelas permissões de acesso ao sítio da RSFN virou requisito porque o texto atribui expressamente essa responsabilidade a cada instituição.
O quarto ponto é a regra de retrato-fonte. Este pacote não considera comunicados posteriores nem altera a situação dos certificados com base em eventos normativos futuros. Se houver necessidade de visão consolidada, o correto é processar cada ato posterior em pasta própria ou pedir expressamente uma extração consolidada.
Este artefato ainda não tem tags.
