O Diário Oficial da União traz na edição de hoje (23) a Instrução Normativa BCB nº 701, que aprofunda a estratégia do Banco Central do Brasil de estruturar um ambiente regulatório mais seguro e previsível para o mercado de criptomoedas. A norma se insere em uma trajetória contínua de aperfeiçoamento iniciada ao longo de 2025, quando o Banco Central editou as Resoluções BCB nºs 519, 520 e 521. Juntas, essas normas formam um arcabouço progressivo que busca enquadrar os ativos digitais sob parâmetros prudenciais, operacionais e tecnológicos compatíveis com os riscos do setor, com destaque crescente para a cibersegurança.
A lógica adotada pelo Banco Central do Brasil tem sido a de construir a regulação em camadas. Em um primeiro momento, o regulador delimitou o perímetro de atuação e as condições institucionais para ingresso no mercado de ativos virtuais. Em seguida, detalhou obrigações de governança, gestão de riscos e conduta. Agora, com a Instrução Normativa nº 701, o foco se desloca para os mecanismos de comprovação técnica dessas exigências, reforçando a supervisão preventiva e a redução de assimetrias de informação entre o mercado e a autoridade monetária.
Nesse conjunto, a Resolução BCB nº 520 ocupa papel central ao estabelecer o regime regulatório das prestadoras de serviços de ativos virtuais. O texto disciplinou de forma abrangente a atuação em intermediação, custódia e outras atividades relacionadas às criptomoedas, impondo requisitos de controles internos, estruturas de gerenciamento de riscos, transparência ao cliente e políticas específicas de segurança cibernética. A resolução também tratou de temas sensíveis como continuidade de negócios, resposta a incidentes e terceirização de serviços tecnológicos críticos, reconhecendo a dependência estrutural do setor em relação a ambientes digitais complexos e, muitas vezes, transnacionais.
A Resolução BCB nº 519, por sua vez, cuidou do enquadramento institucional e do regime de transição, inclusive para instituições já supervisionadas pelo Banco Central que pretendem atuar com criptomoedas. Ao separar claramente a autorização para atividades tradicionais da permissão para operar com ativos digitais, o regulador reforçou a ideia de que o mercado cripto carrega riscos específicos que exigem salvaguardas adicionais. A Resolução nº 521 complementou esse desenho ao fortalecer exigências de governança, controles internos e responsabilidades da alta administração, integrando a atuação com ativos virtuais às estruturas prudenciais já existentes.
A Instrução Normativa BCB nº 701 se conecta diretamente a esse conjunto ao estabelecer como o Banco Central espera que essas obrigações sejam demonstradas na prática. Para comunicar interesse em prestar serviços de intermediação ou custódia de criptomoedas, a instituição deverá apresentar um parecer técnico conclusivo elaborado por empresa qualificada independente. Esse parecer não se limita a verificar a existência formal de políticas, mas deve avaliar, de forma individualizada, a efetividade dos mecanismos adotados, com especial atenção à segurança e à resiliência da infraestrutura tecnológica.
No campo da cibersegurança, a exigência é explícita. A certificação técnica deve examinar os mecanismos destinados a garantir a segurança, a resiliência e o funcionamento adequado do ambiente computacional que sustenta a prestação de serviços com ativos digitais. Isso envolve políticas de segurança cibernética, planos de ação e de resposta a incidentes, monitoramento contínuo de ameaças, mecanismos de redundância e procedimentos de recuperação. A proteção dos instrumentos de controle dos ativos virtuais, como chaves privadas, é tratada como requisito crítico, dada a possibilidade de perdas irreversíveis em caso de falhas ou ataques.
O Banco Central também associa cibersegurança à gestão de terceiros. Serviços relevantes contratados, especialmente os relacionados a processamento de dados, armazenamento e computação em nuvem, devem ser avaliados quanto à sua aderência aos padrões regulatórios, inclusive quando prestados por empresas sediadas no exterior. A intenção é evitar que fragilidades em fornecedores estratégicos comprometam a custódia, a integridade e a disponibilidade dos ativos digitais dos clientes.
Outro elemento recorrente nessa trajetória regulatória é a ênfase na resiliência operacional. A certificação técnica deve avaliar planos de continuidade e recuperação capazes de assegurar o controle dos criptoativos e dos recursos financeiros dos usuários em situações de incidentes cibernéticos ou falhas sistêmicas. Para o Banco Central, no contexto das criptomoedas, indisponibilidade tecnológica se traduz diretamente em risco patrimonial e reputacional, com potenciais efeitos sobre a confiança no mercado.
Ao longo desse processo, o Banco Central vem sinalizando que enxerga o risco tecnológico como risco prudencial. A exigência de certificação técnica independente antecipa a supervisão e reforça a proteção ao usuário, ao mesmo tempo em que impõe um custo regulatório relevante às prestadoras de serviços de criptomoedas. O objetivo declarado não é frear a inovação, mas criar condições para que o mercado de ativos digitais se desenvolva sob parâmetros mínimos de segurança, transparência e robustez operacional, reduzindo a probabilidade de crises associadas a falhas tecnológicas ou de governança.
*imagem: Convergência Digital.
