A Resolução BCB nº 547/2026 alterou a Resolução BCB nº 498/2025, que disciplina os requisitos, procedimentos e condições para o credenciamento do Provedor de Serviços de Tecnologia da Informação (PSTI) para prestação de serviços de processamento de dados para fins de acesso à RSFN, no âmbito do Sistema Financeiro Nacional (SFN) e do Sistema de Pagamentos Brasileiro (SPB).
As alterações reforçam a governança, capacidade técnica verificável e disciplina de supervisão contínua, com impacto direto tanto para os provedores quanto para as instituições que os contratam.
Conceitos básicos
a) O que é RSFN.
É a infraestrutura de comunicação de dados destinada a suportar o tráfego de informações no SFN e no SPB para serviços autorizados. Por sua natureza, é um ambiente de conectividade crítico, no qual falhas de disponibilidade, integridade ou segurança podem repercutir na continuidade de serviços financeiros e de pagamentos.
b) O que é PSTI.
É a entidade credenciada para prestar serviços de processamento de dados, para fins de acesso à RSFN, às instituições financeiras e às demais instituições supervisionadas pelo Banco Central. O credenciamento traz exigências regulatórias próprias.
c) Por que as instituições contratam PSTIs.
Instituições contratam PSTIs para viabilizar e manter, com eficiência e segurança, a infraestrutura de processamento e conectividade necessária ao acesso à RSFN, sem internalizar toda a operação técnica e de controles. As hipóteses mais comuns são:
- Especialização técnica em RSFN e padrões do SFN/SPB: terceirizar a operação de conectividade e seus requisitos técnicos.
- Ganho de escala e redução de custo operacional: evitar montar equipe 24x7 e infraestrutura própria dedicada.
- Continuidade e resiliência: usar provedor com redundância e mecanismos de contingência.
- Agilidade de implantação: acelerar a entrada em produção de serviços que dependem de conectividade no SFN/SPB.
- Segurança e monitoramento estruturados: aproveitar processos maduros de monitoramento e resposta a incidentes.
- Modelo intragrupo: centralizar a operação em empresa do grupo para atender as instituições do conglomerado.
O que mudou na norma
As mudanças trazidas pela Resolução nº 547/2026 podem ser sintetizadas em cinco frentes:
- Exceção intragrupo expressa. Entidades que prestam processamento de dados para acesso à RSFN exclusivamente para instituições do mesmo grupo econômico não se sujeitam ao regime de credenciamento, desde que assegurem segregação operacional e observem requisitos técnicos e de segurança. A norma também explicita que essa exceção não elimina o dever das instituições atendidas de cumprir as regras aplicáveis à contratação de processamento, armazenamento de dados e computação em nuvem.
- Fortalecimento do regime societário e de administradores. A norma detalha o conceito de controlador e de grupo de controle, amplia o alcance do conceito de administradores e cria deveres específicos de comunicação ao supervisor em eventos societários e na gestão de administradores.
- Rigor probatório ampliado. Além da auditoria anual, o Bacen pode exigir que a comprovação de requisitos seja atestada por relatório de asseguração razoável emitido por auditoria independente registrada na CVM.
- Governança de riscos com entrega anual obrigatória. Há obrigação de estrutura de gestão de riscos, controles internos e conformidade, acompanhada de relatório anual aprovado por órgão colegiado e enviado ao Bacen, com guarda documental.
Obrigações do PSTI
A Resolução nº 547/2026 estabelece um conjunto de obrigações estruturais para credenciamento e manutenção da condição de PSTI, com foco em capacidade técnica, governança e evidências auditáveis. As principais exigências são as seguintes.
a) Constituição e regularidade do provedor.
O PSTI deve comprovar constituição regular e instrução adequada do pedido, sob risco de arquivamento sem análise de mérito em caso de falhas formais, descumprimento de prazos ou inconsistências relevantes durante a tramitação.
b) Capacidade técnico-operacional para RSFN.
O PSTI deve demonstrar capacidade técnico-operacional para prestar processamento de dados para acesso à RSFN. A norma reforça controles operacionais e de segurança que são objetivamente verificáveis, incluindo detecção de dispositivos indevidos conectados à rede, monitoramento de requisições a interfaces com análise comportamental e definição e monitoramento de parâmetros operacionais para serviços prestados por interfaces eletrônicas.
Exemplo: em ambiente de produção, o PSTI adota rotinas automatizadas de varredura e inventário de ativos para identificar dispositivos não autorizados e mantém trilhas de logs e alertas correlacionados a requisições atípicas nas interfaces expostas a clientes.
c) Administradores: reputação, capacitação e mandato.
O regime passa a tratar administradores de forma abrangente, incluindo sócios administradores e diretores. São exigidos requisitos de reputação e impedimentos, além de capacitação técnica compatível com as funções. O mandato é limitado a quatro anos, renováveis. Há ainda obrigações de comunicação ao Bacen sobre designação, desligamento e perda superveniente de condições.
d) Capital social e patrimônio líquido mínimos.
Exige-se capital social realizado e patrimônio líquido mínimos de R$ 15 milhões. O supervisor pode requerer montante superior proporcional ao volume de operações, quantidade de clientes e perfil de risco, inclusive no monitoramento contínuo.
e) Certificação de segurança da informação.
O PSTI deve possuir certificação de segurança da informação em norma reconhecida internacionalmente. Esse requisito reforça a expectativa de controles estruturados, não apenas boas práticas pontuais.
f) Auditoria independente anual e asseguração razoável.
O PSTI deve contratar auditoria independente para avaliações anuais em segurança da informação e, quando aplicável, em prevenção à lavagem de dinheiro e ao financiamento do terrorismo. A norma exige procedimentos para disponibilização de relatórios ao supervisor e às instituições contratantes. Além disso, o Bacen pode requerer relatórios de asseguração razoável, emitidos por auditoria registrada na CVM, como padrão reforçado de atestação.
Impactos para as instituições contratantes
As alterações introduzidas pela Resolução nº 547/2026 elevam a expectativa de diligência e monitoramento por parte das instituições supervisionadas que contratam PSTIs. O impacto não é apenas contratual; envolve governança de terceiros e gestão de risco operacional.
a) Due diligence mais robusta e periódica.
- Confirmar se o fornecedor está credenciado, e, em estruturas intragrupo, exigir evidências de segregação operacional e aderência aos requisitos técnicos e de segurança;
- Solicitar documentação de certificação de segurança e relatórios anuais de auditoria e de riscos, tratando esses documentos como insumos de governança.
b) Contratos orientados a evidências, transparência e remediação
- Incluir obrigações de entrega periódica de relatórios, indicadores operacionais, incidentes relevantes e planos de remediação;
- Prever direitos de auditoria, avaliações independentes complementares e deveres de cooperação em solicitações do supervisor;
- Estabelecer consequências contratuais para falhas materiais de segurança, continuidade ou governança, incluindo correção e, em hipóteses críticas, rescisão motivada.
d) Continuidade de negócios e saída ordenada
- Exigir evidências de testes anuais de continuidade e de simulações de crise, além de métricas de disponibilidade e capacidade;
- Alinhar plano de saída ordenada, com obrigações de transição e responsabilidade por continuidade, reduzindo risco de indisponibilidade de acesso à RSFN.
e) Monitoramento de eventos relevantes e mudanças de controle e administração
- Instituir processo interno para acompanhar mudanças societárias e de administradores do PSTI, bem como eventos reputacionais e incidentes operacionais;
- Exigir comunicação de eventos relevantes e atualização do dossiê de conformidade do fornecedor, quando houver expansão de escopo ou alteração de controle.