Banco Central eleva padrão de cibersegurança

Banco Central eleva o padrão de cibersegurança: avanço necessário, mas com desafios | Artigo por Marcelo Mantovani, Gerente de GRC da ISH Tecnologia

Marcelo Mantovani, gerente de GRC da ISH Tecnologia

As recentes resoluções do Banco Central do Brasil — especialmente a Resolução nº 498, publicada em setembro deste ano — representam um divisor de águas para a segurança cibernética e a governança tecnológica no sistema financeiro nacional.

Ao estabelecer novos requisitos para o credenciamento de Provedores de Serviços de Tecnologia da Informação (PSTI) conectados à Rede do Sistema Financeiro Nacional (RSFN), o Banco Central não apenas reforça a blindagem do Sistema de Pagamentos Brasileiro (SPB), mas também redefine o papel da tecnologia como vetor de confiança e estabilidade no ecossistema financeiro.

O conjunto normativo que vai da Resolução BCB 494 à 498 revela uma estratégia regulatória clara: elevar o padrão de segurança, modernizar o arcabouço legal e promover um ambiente competitivo e transparente.

A Resolução 494, por exemplo, impõe novos critérios para constituição e funcionamento de instituições de pagamento, exigindo capital mínimo mais elevado, estrutura organizacional robusta e práticas de governança alinhadas às melhores referências internacionais.

Já a Resolução 495 simplifica e agiliza os processos de autorização, sem abrir mão da segurança, enquanto a 496 ajusta os critérios de participação no Pix, impondo limites de transação e exigências técnicas rigorosas para instituições não autorizadas.

A Resolução 498, em particular, é emblemática por alguns fatores. Ela exige que os PSTIs demonstrem capacidade técnico-operacional, governança sólida e conformidade regulatória, além de designar executivos responsáveis por áreas críticas como segurança da informação, riscos operacionais e compliance.

A obrigatoriedade de certificados distintos para ambientes de homologação e produção, a segregação de chaves privadas e a exigência de auditorias independentes são medidas que colocam o Brasil em sintonia com os frameworks internacionais de segurança, como ISO/IEC 27001 e PCI DSS.

Do ponto de vista de uma empresa de cibersegurança, essas resoluções são bem-vindas e necessárias. Elas reconhecem que a segurança não é apenas um requisito técnico, mas um pilar estratégico da confiança institucional.

Ao exigir que instituições financeiras e de pagamento revisem seus processos, invistam em infraestrutura e adotem uma postura proativa de transparência regulatória, o Banco Central sinaliza que a resiliência cibernética é condição fundamental para operar no sistema financeiro moderno.

No entanto, há pontos que ainda merecem atenção. A implementação das medidas, embora escalonada, impõe desafios significativos para instituições de menor porte, que podem enfrentar dificuldades técnicas e financeiras para atender aos novos padrões.

A exigência de relatórios de asseguração por auditorias independentes, por exemplo, pode representar um custo elevado para startups e fintechs em fase inicial.

Além disso, a proibição de compartilhamento de chaves privadas com PSTIs, embora acertada do ponto de vista da segurança, exige maturidade tecnológica e processos bem definidos que nem todas as instituições possuem.

Outro aspecto que merece reflexão é o equilíbrio entre regulação e inovação. Embora as resoluções busquem simplificar processos e reduzir burocracias — como se vê na Resolução 495 — o risco de sobrecarga regulatória persiste, especialmente se os critérios de avaliação não forem aplicados com proporcionalidade.

A regulação deve ser firme, mas também adaptável, permitindo que novos modelos de negócio floresçam sem comprometer a segurança.

Por fim, é preciso avançar na integração entre os diversos atores do sistema. A segurança cibernética não pode ser responsabilidade exclusiva das instituições financeiras ou dos PSTIs. Ela deve ser compartilhada entre reguladores, provedores de tecnologia, empresas de cibersegurança e consumidores.

A criação de bancos de dados compartilhados de fraudes, como previsto na Resolução 494, é um passo importante, mas ainda tímido diante da complexidade das ameaças atuais. É necessário fomentar uma cultura de colaboração, inteligência coletiva e resposta coordenada a incidentes.

A conformidade regulatória não deve ser encarada como obrigação, mas como oportunidade de diferenciação. Aquelas instituições que investirem em segurança, governança e transparência estarão não apenas em conformidade com o Banco Central, mas também mais preparadas para conquistar a confiança dos clientes e prosperar em um mercado cada vez mais exigente.

As resoluções BCB 494 a 498 são um marco — e como todo marco, exigem não apenas cumprimento, mas visão estratégica e compromisso com a excelência.

Autor: Marcelo Mantovani, Gerente de GRC da ISH Tecnologia