O Banco Central do Brasil (BCB) publicou nesta quinta-feira (11/09) a Instrução Normativa nº 664, que define os prazos para que os Provedores de Serviços de Tecnologia da Informação (PSTIs) se adaptem às exigências da Resolução BCB nº 498/2025, voltadas à política de segurança da informação e à gestão de fraudes no sistema financeiro.
Segundo o documento, os PSTIs já em operação terão 15 dias para implementar medidas centrais de proteção cibernética, como rastreabilidade de transações, auditorias, trilhas de logs, controle de acessos com múltiplos fatores de autenticação, gestão de certificados digitais e mecanismos de defesa de rede. O objetivo é aumentar a resiliência do setor diante de ameaças como ataques hackers, acessos indevidos e manipulação de credenciais.
Além disso, a norma prevê ações de inteligência cibernética, com monitoramento da internet aberta, deep e dark web, e grupos privados de comunicação, em busca de indícios de riscos envolvendo clientes, credenciais ou vulnerabilidades.
Outros pontos da política de segurança que não foram listados entre as medidas prioritárias terão prazo estendido de 30 dias para implantação.
Gestão de fraudes e auditoria independente
No mesmo período de 30 dias, os provedores deverão também colocar em prática a política de gestão de fraudes prevista na resolução, incluindo mecanismos de prevenção, detecção e tratamento de operações suspeitas.
Para comprovar o cumprimento das exigências, as empresas terão de apresentar um relatório de asseguração razoável, elaborado por auditoria independente registrada na Comissão de Valores Mobiliários (CVM). O documento, que deverá ser enviado ao Banco Central em até 15 dias após a implementação das medidas, será peça-chave na verificação do atendimento integral das regras.
Penalidades em caso de descumprimento
A Instrução Normativa alerta que o descumprimento dos prazos poderá levar à aplicação de medidas cautelares já previstas no marco regulatório, como restrições operacionais e sanções adicionais.
| Prazo | Exigência | Risco se descumprir |
|---|---|---|
| 15 dias | Segurança da informação (logs, autenticação múltipla, firewall, inteligência cibernética) | Medidas cautelares do BC |
| 30 dias | Restante da política de segurança + gestão de fraudes | Idem |
| + 15 dias | Relatório de auditoria independente registrada na CVM | Sanções adicionais |
