O Banco Central do Brasil (BCB) publicou, em setembro de 2025, um conjunto de normas para reforçar a segurança operacional, a governança e a integridade do Sistema Financeiro Nacional (SFN), com foco especial nas instituições de pagamento (IP) e nos prestadores de serviços de tecnologia da informação (PSTI).
Nesse contexto, a Resolução BCB nº 494 e a Resolução BCB nº 495 promovem ajustes nas regras de autorização de funcionamento das IP. A primeira altera a Resolução BCB nº 80/21 para detalhar o processo de solicitação de autorização para funcionamento junto ao BCB e criar uma nova janela de regularização para emissores de moeda eletrônica, emissores de instrumentos de pagamento pós-pago e credenciadores que tenham iniciado atividades antes da exigência de autorização, os quais deverão protocolar o pedido entre 1º e 31 de maio de 2026. Já a segunda modifica a Resolução BCB nº 81/21 para, entre outros, incluir novos requisitos para autorização de funcionamento das IP, voltados ao fortalecimento da estrutura e da capacidade operacional, quais sejam: (a) capacitação técnica dos administradores compatível com as funções exercidas; (b) atendimento aos requisitos mínimos de capital e patrimônio líquido; e (c) manutenção de sede física de uso exclusivo, vedado o uso de coworking ou de outro espaço compartilhado como sede da instituição, salvo se pertencente ao respectivo conglomerado econômico.
Por sua vez, a Resolução BCB nº 496 e a Resolução BCB nº 503 modificam a Resolução BCB nº 1/20, que regulamenta o arranjo de pagamentos Pix, adequando critérios de participação de IP não autorizadas pelo BCB e de participantes conectados à Rede do Sistema Financeiro Nacional (RSFN) por meio de um PSTI. Os normativos estabelecem o teto em R$15 mil por operação para os referidos participantes. Esse limite, contudo, não se aplica aos participantes que cumpram requisitos adicionais de segurança e auditoria, tais como: (a) controle exclusivo das chaves privadas, cadastradas no BCB, utilizadas para assinatura das mensagens; (b) validação da integridade das transações antes da assinatura; (c) uso de certificados digitais distintos por ambiente operacional; e (d) adoção de certificados separados para assinatura de mensagens e para o canal do Pix. Ainda, o limite estará dispensado quando as transações forem destinadas à Secretaria do Tesouro Nacional ou ao pagamento de Guia do FGTS Digital.
Já a Resolução BCB nº 506 altera a Resolução BCB nº 1/2020 para reforçar e acrescentar outras medidas de governança e segurança no Pix, entre elas: (a) exclusão de participantes que não atendam ao patrimônio líquido mínimo de R$5 milhões; (b) ampliação do prazo para reapresentação de pedido de adesão de 12 para 60 meses após a exclusão; (c) possibilidade de definição de limites de transação conforme o perfil de risco do cliente; (d) critérios mínimos para classificação de transações suspeitas de fraude; e (e) obrigatoriedade de que instituições que criem ou aceitem notificação para marcação de fraude transacional restrinjam transações Pix e rejeitem pedido de registro, de portabilidade e de reivindicação de posse de chave Pix em qualquer conta transacional mantida pelo cliente na instituição.
Em linha com a Resolução BCB nº 503, a Resolução BCB nº 497 altera a Resolução BCB nº 256/22, estabelecendo novos limites e condições para instituições que realizam transferências via TED utilizando conexão à RSFN por meio de PSTI. O valor máximo permitido por transação também é de R$15 mil, exceto para as instituições que cumpram requisitos adicionais de segurança e auditoria, com algumas poucas diferenças ao previsto para os participantes do Pix não autorizados.
A Instrução Normativa BCB nº 666 e a Instrução Normativa BCB nº 667 concedem dispensas temporárias dos limites de R$15 mil para TED e Pix a instituições conectadas à RSFN via PSTI, as quais estão condicionadas à apresentação de garantias e à adoção de controles adicionais de segurança. Essas dispensas têm validade inicial de 90 dias.
Por fim, a Resolução BCB nº 498 estabelece os requisitos, os procedimentos e as condições para o credenciamento e o funcionamento dos PSTI responsáveis por fornecer infraestrutura tecnológica para acesso à RSFN. Dentre os principais pontos, estão: (a) capital social realizado e patrimônio líquido mínimos de R$15 milhões (podendo o BCB exigir valores superiores); (b) nomeação de diretores responsáveis por segurança da informação, riscos, compliance e crises operacionais; e (c) auditoria externa anual independente em segurança da informação e, quando aplicável, em prevenção à lavagem de dinheiro e financiamento do terrorismo. Os PSTI devem comprovar anualmente ao BCB o cumprimento desses requisitos e manter governança corporativa e gestão de riscos compatíveis com seu porte e complexidade. Além disso, a norma veda o credenciamento de instituições financeiras e demais entidades supervisionadas pelo BCB como PSTI, salvo para atendimento exclusivo ao próprio conglomerado, com segregação operacional.
Em complemento à Resolução BCB nº 498, a Instrução Normativa BCB nº 664 define prazos para adequação dos PSTI já em operação à referida resolução, permitindo que ajustem seus processos e controles aos novos requisitos de credenciamento.
Em conjunto, as normas reforçam o arcabouço regulatório aplicável ao SFN, incorporando exigências mais rigorosas de segurança e governança para mitigar riscos às estruturas tecnológicas do setor financeiro e proteger os usuários. As instituições afetadas devem se preparar para cumprir os novos requisitos dentro dos prazos estabelecidos de modo a garantir a continuidade e a conformidade de suas operações.