Esses ataques sobrecarregam redes e servidores com tráfego malicioso, tirando sistemas do ar e interrompendo serviços essenciais. O aumento de mais de 50% em relação ao semestre anterior evidencia uma escalada preocupante.
A Vulnerabilidade da Cadeia de Fornecimento
Bancos e grandes instituições investem fortemente em proteção digital, mas frequentemente são impactados por brechas em seus fornecedores de tecnologia. Em setembro deste ano a empresa prestadora de serviços ao BC, C&M Software, sofreu um ataque que gerou mais de R$800 milhões em prejuízos.
Foi nesse contexto que o Banco Central decidiu agir de forma preventiva, estabelecendo padrões mínimos obrigatórios para toda a cadeia de fornecimento tecnológico do setor financeiro.
O Que É a Resolução BCB 498/2025
Publicada em 5 de setembro de 2025 e em vigor imediatamente, a Resolução BCB 498 estabelece requisitos para o credenciamento e atuação dos Provedores de Serviços de Tecnologia da Informação (PSTIs). Esses fornecedores prestam serviços às instituições financeiras e participantes do Sistema de Pagamentos Brasileiro.
A norma representa uma mudança estrutural no modelo de entrada desses fornecedores. Agora, para atuar como provedor de tecnologia no Sistema Financeiro Nacional, a empresa precisa ser credenciada diretamente pelo Banco Central — e não apenas contratada por uma instituição financeira.
O objetivo declarado pela autoridade monetária é mitigar o risco de ataques cibernéticos via cadeia de suprimentos. Hackers exploram vulnerabilidades em fornecedores para alcançar o alvo final, contornando as defesas das grandes instituições.
Quem É Afetado Pela Nova Regra
A resolução se aplica a todos os Provedores de Serviços de Tecnologia da Informação que processam dados para instituições financeiras com objetivo de acessar a Rede do Sistema Financeiro Nacional (RSFN).
Na prática, isso inclui:
-Empresas de tecnologia que fornecem infraestrutura
-Sistemas, plataformas ou serviços de processamento para bancos
-Cooperativas de crédito
-Instituições de pagamento
-Corretoras e demais participantes do sistema financeiro
Frequentemente, esses provedores são startups, empresas de médio porte ou mesmo grandes corporações de tecnologia que desenvolveram soluções específicas para o setor. Muitas operam em estágios iniciais de maturidade em governança corporativa e cibersegurança, o que as torna vulneráveis.
As Cinco Exigências Críticas da Resolução
A Resolução BCB 498 estabelece um conjunto abrangente de requisitos. Entre as exigências mais relevantes, escolhemos cinco pontos críticos que determinam a adequação regulatória:
1. Contratação Obrigatória de Seguro Cibernético
Os PSTIs devem comprovar a contratação de seguro de responsabilidade civil e de riscos operacionais, incluindo cobertura específica para incidentes de fraude e segurança cibernética.
O Banco Central define a cobertura mínima exigida, garantindo que o seguro não seja meramente simbólico. A apólice precisa ser efetivamente capaz de cobrir prejuízos relevantes decorrentes de ataques.
2. Estrutura de Governança Corporativa Robusta
As empresas precisam demonstrar estrutura de governança compatível com sua natureza, porte e perfil de risco. Isso inclui:
-Políticas formais de gestão de riscos
-Segurança cibernética
-Compliance
-Auditoria interna
-Continuidade de negócios
Todas as políticas devem ser aprovadas pelo conselho de administração ou, na ausência deste, pela diretoria estatutária. A documentação precisa estar disponível para fiscalização do Banco Central.
3. Designação de Diretores Responsáveis
A resolução exige a designação de diretores ou executivos responsáveis por áreas críticas como:
-Segurança da informação
-Segurança cibernética
-Gestão de riscos
-Compliance
-Gestão de crises operacionais.
Esses profissionais devem comprovar capacitação técnica compatível com as atribuições do cargo. A comprovação se baseia em formação acadêmica, experiência profissional ou conhecimentos técnicos específicos documentados.
4. Implementação de Controles Técnicos Avançados
Entre os requisitos técnicos estão a adoção de criptografia para proteção de dados, autenticação forte e mecanismos de rastreabilidade de transações com trilhas de auditoria completas.
A norma também exige controle rigoroso de acesso, gestão de certificados digitais, proteção contra vazamento de dados e monitoramento de ameaças na deep web e dark web. Esses controles precisam estar documentados e operacionais.
5. Auditoria Externa Anual e Capital Mínimo
Os PSTIs devem contratar auditoria externa independente, registrada na Comissão de Valores Mobiliários, com foco em segurança da informação e compliance.
Além disso, precisam comprovar capital social mínimo de R$ 15 milhões, ajustável conforme porte e risco da operação. O requisito demonstra capacidade financeira para suportar obrigações contratuais e regulatórias.
Prazos de Adequação e Consequências do Descumprimento
A Resolução BCB 498 entrou em vigor na data de sua publicação, 5 de setembro de 2025. No entanto, o Banco Central estabeleceu prazos de adequação para PSTIs já em operação através da Instrução Normativa BCB 664.
Os provedores que já atuavam antes da nova norma têm até quatro meses para implementar integralmente os requisitos. Para aspectos específicos da política de segurança da informação, os prazos são ainda mais curtos: 15 a 30 dias, dependendo do item.
O descumprimento pode resultar em medidas cautelares aplicadas pelo Banco Central, incluindo limitações operacionais mais restritivas, suspensão da conexão à Rede do Sistema Financeiro Nacional ou até mesmo o descredenciamento definitivo do provedor.
7 Etapas Para as Empresas se Adaptarem
A adequação à Resolução BCB 498 exige ação coordenada em múltiplas frentes. Empresas que fornecem tecnologia para o sistema financeiro — ou que pretendem fazê-lo — devem adotar medidas estratégicas em sete áreas principais.
1 – Avaliação de Maturidade em Cibersegurança
Antes de buscar adequação, é fundamental entender onde a empresa se encontra e realizar uma avaliação para identificar possíveis gaps e vulnerabilidades
O diagnóstico deve mapear não apenas aspectos técnicos, mas também processuais e de governança. Essa visão integrada permite priorizar investimentos e esforços de forma eficiente.
2 – Estruturação da Governança Corporativa
Caso a empresa não possua conselho de administração, é o momento de reavaliar sua constituição ou, alternativamente, formalizar a estrutura de diretoria estatutária com responsabilidades claras.
As políticas exigidas pela resolução devem ser elaboradas, aprovadas pela alta gestão e implementadas com processos que garantam sua efetividade. Documentação formal e evidências de aplicação prática são essenciais.
3 – Designação e Capacitação de Responsáveis
Identificar ou contratar profissionais qualificados para as funções críticas exigidas pela norma é prioritário. As áreas incluem segurança da informação, segurança cibernética, gestão de riscos, compliance e gestão de crises.
Se a empresa não possui internamente profissionais com o perfil exigido, será necessário recorrer ao mercado ou investir em capacitação acelerada. A comprovação de qualificação deve ser documentada.
4 – Implementação de Controles Técnicos
Os requisitos de criptografia, rastreabilidade, controle de acesso e proteção de dados exigem investimento em tecnologia e, muitas vezes, redesenho de arquiteturas de sistemas.
Empresas que operam com infraestrutura legada enfrentarão desafios maiores nessa frente. O planejamento deve considerar não apenas aquisição de ferramentas, mas também integração com sistemas existentes.
5 – Contratação de Seguro Com Assessoria Especializada
Dada a complexidade das apólices e as exigências das seguradoras, contar com corretores especializados em risco cibernético é essencial.
Esses profissionais auxiliam na avaliação do risco, na implementação de controles para melhorar as condições de subscrição e na negociação de coberturas adequadas ao perfil da empresa. A assessoria evita contratações inadequadas ou insuficientes.
6 – Estabelecimento de Plano de Continuidade
A norma exige um Plano de Continuidade de Negócios formalmente documentado, testado periodicamente e aprovado anualmente pelo Banco Central.
O plano deve contemplar não apenas cenários de indisponibilidade de sistemas, mas também outros eventos que possam comprometer a operação. Testes reais e documentados validam a efetividade do PCN.
7 – Contratação de Auditoria Externa
Empresas que ainda não possuem auditoria externa anual precisarão estabelecer relacionamento com firma registrada na CVM, com expertise em segurança da informação.
Antecipação Como Estratégia
Investir em governança de cibersegurança e contratar proteção adequada antes da obrigatoriedade regulatória posiciona empresas à frente da concorrência quando novas normas foram publicadas.
A A2TM oferece análise personalizada das necessidades de seguro cibernético para empresas, considerando perfil de risco, requisitos regulatórios e melhores práticas de governança digital. Nossa equipe especializada auxilia na avaliação de maturidade em cibersegurança, identificação de gaps críticos e conexão com seguradoras que oferecem coberturas adequadas ao perfil empresarial.
Entre em contato pelo WhatsApp ou conheça mais sobre nossa consultoria em nosso site.
Fontes: NetScout, Banco Central do Brasil e Comissão de Valores Mobiliários.