Por Marcelo Mantovani *
As recentes resoluções do Banco Central do Brasil — especialmente a Resolução nº 498, publicada em setembro deste ano — representam um divisor de águas para a segurança cibernética e a governança tecnológica no sistema financeiro nacional. Ao estabelecer novos requisitos para o credenciamento de Provedores de Serviços de Tecnologia da Informação (PSTI) conectados à Rede do Sistema Financeiro Nacional (RSFN), o Banco Central não apenas reforça a blindagem do Sistema de Pagamentos Brasileiro (SPB), mas também redefine o papel da tecnologia como vetor de confiança e estabilidade no ecossistema financeiro.
O conjunto normativo que vai da Resolução BCB 494 à 498 revela uma estratégia regulatória clara: elevar o padrão de segurança, modernizar o arcabouço legal e promover um ambiente competitivo e transparente. A Resolução 494, por exemplo, impõe novos critérios para constituição e funcionamento de instituições de pagamento, exigindo capital mínimo mais elevado, estrutura organizacional robusta e práticas de governança alinhadas às melhores referências internacionais. Já a Resolução 495 simplifica e agiliza os processos de autorização, sem abrir mão da segurança, enquanto a 496 ajusta os critérios de participação no Pix, impondo limites de transação e exigências técnicas rigorosas para instituições não autorizadas.
A Resolução 498, em particular, é emblemática por alguns fatores. Ela exige que os PSTIs demonstrem capacidade técnico-operacional, governança sólida e conformidade regulatória, além de designar executivos responsáveis por áreas críticas como segurança da informação, riscos operacionais e compliance. A obrigatoriedade de certificados distintos para ambientes de homologação e produção, a segregação de chaves privadas e a exigência de auditorias independentes são medidas que colocam o Brasil em sintonia com os frameworks internacionais de segurança, como ISO/IEC 27001 e PCI DSS.
Do ponto de vista de uma empresa de cibersegurança, essas resoluções são bem-vindas e necessárias. Elas reconhecem que a segurança não é apenas um requisito técnico, mas um pilar estratégico da confiança institucional. Ao exigir que instituições financeiras e de pagamento revisem seus processos, invistam em infraestrutura e adotem uma postura proativa de transparência regulatória, o Banco Central sinaliza que a resiliência cibernética é condição fundamental para operar no sistema financeiro moderno.
No entanto, há pontos que ainda merecem atenção. A implementação das medidas, embora escalonada, impõe desafios significativos para instituições de menor porte, que podem enfrentar dificuldades técnicas e financeiras para atender aos novos padrões. A exigência de relatórios de asseguração por auditorias independentes, por exemplo, pode representar um custo elevado para startups e fintechs em fase inicial. Além disso, a proibição de compartilhamento de chaves privadas com PSTIs, embora acertada do ponto de vista da segurança, exige maturidade tecnológica e processos bem definidos que nem todas as instituições possuem.
Outro aspecto que merece reflexão é o equilíbrio entre regulação e inovação. Embora as resoluções busquem simplificar processos e reduzir burocracias — como se vê na Resolução 495 — o risco de sobrecarga regulatória persiste, especialmente se os critérios de avaliação não forem aplicados com proporcionalidade. A regulação deve ser firme, mas também adaptável, permitindo que novos modelos de negócio floresçam sem comprometer a segurança.
Por fim, é preciso avançar na integração entre os diversos atores do sistema. A segurança cibernética não pode ser responsabilidade exclusiva das instituições financeiras ou dos PSTIs. Ela deve ser compartilhada entre reguladores, provedores de tecnologia, empresas de cibersegurança e consumidores. A criação de bancos de dados compartilhados de fraudes, como previsto na Resolução 494, é um passo importante, mas ainda tímido diante da complexidade das ameaças atuais. É necessário fomentar uma cultura de colaboração, inteligência coletiva e resposta coordenada a incidentes.
A conformidade regulatória não deve ser encarada como obrigação, mas como oportunidade de diferenciação. Aquelas instituições que investirem em segurança, governança e transparência estarão não apenas em conformidade com o Banco Central, mas também mais preparadas para conquistar a confiança dos clientes e prosperar em um mercado cada vez mais exigente. As resoluções BCB 494 a 498 são um marco — e como todo marco, exigem não apenas cumprimento, mas visão estratégica e compromisso com a excelência.
*Marcelo Mantovani é Gerente de GRC da ISH Tecnologia.
