O Banco Central estabeleceu prazos escalonados para os PSTIs - provedores de serviços de tecnologia da informação se adequarem às novas exigências de segurança: até ontem, 30/9, para medidas críticas, como rastreabilidade de transações e controles de acesso, e até 15/10 para a implementação das demais exigências de governança e gestão de riscos. As regras estão na IN BCB 664/25, publicada em 11/9 e em vigor desde o dia 15.
As mudanças fazem parte de um pacote emergencial de reforço da segurança do sistema financeiro, resolução BCB 498/25, após ataques hackers ocorridos entre o final de agosto e o início de setembro, que miraram PSTIs, empresas responsáveis por serviços de mensageria e troca de informações no SPB - Sistema de Pagamentos Brasileiro e na RSFN - Rede do Sistema Financeiro Nacional.
Essas companhias são peças críticas de infraestrutura, permitindo que instituições menores se comuniquem com o mercado e com o próprio BC.
O parágrafo 2º da norma determina que o relatório de asseguração razoável, elaborado por auditoria independente, deve ser entregue ao BC em até 15 dias após a implementação das medidas previstas. Na prática, isso significa que, concluída a etapa final de adequação em 15/10, os provedores terão até 30/10 para enviar o relatório de conformidade.
Para especialistas, o prazo curto pressiona especialmente provedores de médio e pequeno porte, que precisam investir rapidamente em infraestrutura de segurança, com risco de concentração de mercado.
Outro ponto de atenção é a compatibilidade entre a rastreabilidade ampla e a LGPD, já que a exigência de logs detalhados aumenta a coleta e guarda de informações sensíveis.
Segundo a advogada criminalista Cecilia Mello, especialista em compliance, direito penal empresarial e sócia do Cecilia Mello Advogados, a norma reforça a responsabilidade das empresas que dão sustentação ao sistema financeiro.
"O Banco Central não deixou espaço para improvisos. As medidas precisam ser implementadas nos prazos definidos e o relatório de auditoria é a prova de que houve governança efetiva. Omissões podem gerar sanções administrativas e até responsabilização penal. É fundamental que os provedores conciliem rastreabilidade e controles técnicos com a proteção de dados dos usuários", alerta.