O Banco Central do Brasil (BCB) anunciou novas medidas de segurança para o sistema financeiro, incluindo diretrizes para a atuação de PSTI (Provedores de Serviços de Tecnologia da Informação) por meio da Resolução BCB n° 498.
O conjunto de medidas já está em vigor e foi implementado após o acontecimento de ataques hackers a instituições financeiras no país.
O debate sobre a importância da segurança financeira não é novidade, mas agora medidas já estão sendo colocadas em prática visando o combate do problema.
Novas resoluções foram publicadas no dia 05 de setembro de 2025, e trazem mudanças nos limites para transferência de Pix, TED, cadastro de novas instituições financeiras, requisitos mais rígidos para a operação de instituições financeiras, entre outras.
É comum que mudanças na legislação assustem os empreendedores. Contudo, o mais importante é estar sempre por dentro das alterações para evitar descumprimentos.
Neste artigo, vamos te explicar as novidades da Resolução BCB 498, que regula a atuação de PSTI. Prossiga a leitura e entenda o que mudou:
Novas resoluções do Banco Central
No dia 05 de setembro de 2025, o Banco Central publicou novas resoluções que visam aumentar a segurança do sistema financeiro.
Essas resoluções incluem uma série de medidas que vão trazer alguns impactos para as empresas que operam no setor financeiro.
As resoluções são as seguintes:
- Resolução BCB n° 494 de 5/9/2025;
- Resolução BCB n° 495 de 5/9/2025;
- Resolução BCB n° 496 de 5/9/2025;
- Resolução BCB n° 497 de 5/9/2025;
- Resolução BCB n° 498 de 5/9/2025.
De forma resumida, o objetivo de cada uma delas é:
Resolução BCB n° 494
Tem como finalidade atualizar as regras previstas na Resolução BCB nº 80, de 25 de março de 2021, trazendo ajustes sobre a forma como as instituições de pagamento devem ser estruturadas e operar.
Ela define critérios e procedimentos para que essas instituições possam solicitar autorização de funcionamento junto ao Banco Central do Brasil.
Além disso, estabelece diretrizes sobre a prestação de serviços de pagamento por entidades já autorizadas a funcionar, garantindo maior segurança, clareza e padronização no setor.
Resolução BCB n° 495
Atualiza a Resolução BCB nº 81, de 25 de março de 2021, com o intuito de ajustar e aperfeiçoar os procedimentos relacionados à autorização de funcionamento das instituições de pagamento.
Ela também trata das condições para que outras instituições já autorizadas pelo Banco Central possam oferecer serviços de pagamento, reforçando a segurança jurídica, a transparência e a eficiência operacional no ecossistema regulado.
Resolução BCB n° 496
Modifica a Resolução BCB nº 1, de 12 de agosto de 2020, que criou o arranjo de pagamentos Pix e aprovou seu regulamento.
O foco da alteração é ajustar as regras sobre a autorização de instituições de pagamento que ainda não possuem autorização formal para funcionar pelo Banco Central, mas que atuam como participantes do Pix.
A mudança busca alinhar os critérios de participação ao nível de supervisão exigido, reforçando a segurança e a integridade do sistema de pagamentos instantâneos.
Resolução n° 497
Atualiza a Resolução BCB nº 256, de 1º de novembro de 2022, que estabelece as regras para a Transferência Eletrônica Disponível (TED).
O objetivo da alteração é ajustar dispositivos operacionais e regulatórios relacionados ao funcionamento da TED, garantindo maior clareza, segurança e eficiência nas transações realizadas por esse meio de pagamento.
Resolução n° 498
Estabelece as regras, exigências e procedimentos que devem ser seguidos por empresas que desejam atuar como Provedores de Serviços de Tecnologia da Informação (PSTI) dentro do Sistema Financeiro Nacional (SFN) e do Sistema de Pagamentos Brasileiro (SPB).
Principais mudanças com as resoluções do Banco Central
Conforme adiantamos, as novas resoluções do Banco Central trouxeram uma série de mudanças para a dinâmica do sistema financeiro brasieliro.
Considerando as novas resoluções publicadas, podemos destacar as principais mudanças:
Regulação das instituições de pagamento
A partir de agora, nenhuma instituição de pagamento poderá operar sem autorização do Banco Central. Isso significa que novas instituições não podem funcionar sem este aval.
A situação das instituições que já operam, contudo, pode ser regularizada junto ao Banco Central e o prazo para solicitar a autorização, que estava previsto para dezembro de 2029, agora está marcado para maio de 2026.
Limites de transferências via Pix e TED
Instituições que acessam a RSFN (Rede do Sistema Financeiro Nacional) por meio de PSTI não credenciado ficam proibidas de emitir TEDs de valor igual ou superior a R$15.000,00.
Esse limite pode ser dispensado se o PSTI (Provedores de Serviços de Tecnologia da Informação) for credenciado e a instituição comprovar boas práticas de segurança da informação, como não compartilhar chaves privadas, validar transações antes da assinatura e usar certificados distintos.
Também é possível solicitar uma dispensa temporária de 90 dias ao Banco Central, mediante apresentação de garantias técnicas adequadas.
Para as transferências via Pix, as regras são semelhantes…
Instituições que usam PSTIs para acessar a RSFN ficam limitadas a transferências via Pix de até R$15 mil, salvo se o PSTI for credenciado e houver comprovação de boas práticas de segurança.
A comprovação deve ser feita via relatório de auditoria independente, demonstrando controle de chaves, validação de mensagens e uso adequado de certificados. Também há previsão de dispensa temporária desse limite, por até 90 dias, mediante solicitação formal e análise do Banco Central.
Credenciamento de PSTI
Segundo o presidente do Banco Central, Gabriel Galípolo, muitas instituições financeiras têm atuado por intermédio de prestadores de serviços terceirizados do setor da tecnologia da informação.
Nesse sentido, o presidente do BCB considera que atribuir tarefas financeiras ao PSTI sem a devida supervisão do Banco Central, pode ameaçar a segurança financeira do Brasil.
Por isso, a resolução implementou novas medidas para regular e credenciar o PSTI.
A partir de agora, essas empresas devem ter um capital mínimo de R$ 15 milhões, além de seguirem uma série de condutas para credenciamento, descredenciamento e ampliação da governança e gestão de riscos.
Quando entram em vigor?
A Resolução n° 498, assim como as demais (494 a 497), já está em vigor desde a publicação do documento, ou seja, do dia 05 de setembro de 2025.
Contudo, existem prazos para que as empresas se adequem às novas exigências. No caso dos PSTIs, por exemplo, é necessário cumprir as exigências em até quatro meses após a resolução ter entrado em vigor.
O que é PSTI?
PSTIs nada mais são do que entidades que atuam na área da tecnologia da informação de modo a processar dados para instituições financeiras a fim de se conectarem à RSFN.
Com uma infraestrutura tecnológica adequada, os provedores desempenham funções importantes para a dinâmica financeira, garantindo a eficiência, agilidade e segurança dessas transações.
Mas vale destacar que é necessário que as empresas tenham autorização do Banco Central e sigam todas as exigências.
Afinal, estamos falando de cibersegurança.
Vamos entender com mais detalhes quais são exigências determinadas pela resolução n° 498 para um PSTI.
O que muda para um PSTI com Resolução 498 BCB?
A resolução 498 do Banco Central trouxe uma série de mudanças para os provedores, tornando a permissão para atuar mais rigorosa.
Veja as principais regras implementadas pelo documento:
Credenciamento
A nova resolução do Banco Central tornou o credenciamento do PSTI muito mais rigoroso e completo.
Agora, além de comprovar que a empresa está legalmente constituída e aderir às regras da RSFN, a PSTI precisa demonstrar capacidade técnica, financeira e de gestão.
Entre algumas das exigências para credenciamento, estão:
- Capital social mínimo de R$ 15 milhões;
- Diretores com qualificações técnicas para a área de atuação;
- Auditoria externa anual obrigatória, com foco em segurança da informação e, quando aplicável, em prevenção à lavagem de dinheiro;
- Contratação de seguro de responsabilidade civil e riscos operacionais, incluindo cobertura para incidentes de fraude e segurança cibernética;
- Comprovar capacidade técnico-operacional para prestar informações ao BCB;
- Plano de Continuidade de Negócios (PCN) obrigatório, com testes periódicos e comprovação anual.
Descredenciamento
O resolução também determina algumas diretrizes para casos de descredenciamento, que pode ocorrer a partir dos seguintes movimentos:
- A pedido do próprio PSTI;
- De ofício, pelo Banco Central, em caso de irregularidades.
Gestão de riscos
Um dos principais pontos propostos pela nova resolução do Banco Central é justamente a ampliação da governança e gestão de risco, tendo em vista que estamos falando de uma atividade que envolve uma série de riscos e muita responsabilidade civil.
Nesse sentido, a norma exige que os PSTIs tenham uma estrutura de governança robusta e adequada ao seu porte e complexidade, com funções críticas bem separadas, como gestão de riscos, compliance, segurança da informação e auditoria.
É obrigatório nomear diretores responsáveis por essas áreas e manter um comitê específico para gestão de crises.
Na gestão de riscos, os provedores devem adotar políticas formais e atualizadas para segurança da informação, continuidade de negócios e prevenção a fraudes.
A segurança cibernética passa a exigir controles avançados como criptografia, controle de acesso rigoroso, monitoramento contínuo e rastreabilidade total das transações.
Por fim, reforçam-se as exigências de controles internos e auditoria, garantindo maior segurança, transparência e confiabilidade na operação do PSTI.
Vale lembrar que estes são alguns dos principais pontos propostos pla resolução. Recomendamos a leitura completa do documento.
O seguro é obrigatório para PSTI?
Conforme citamos acima, o seguro de responsabilidade civil e riscos operacionais passou a ser obrigatório para que os provedores atuem de forma legal.
No art. 3° do Capítulo 1, fica evidente a cobertura obrigatória:
“XIII – comprovação da contratação de seguro de responsabilidade civil e de riscos operacionais, com cobertura mínima definida pelo Banco Central do Brasil, incluindo incidentes de fraude e segurança cibernética”.
Além disso, o texto também deixa claro que a falta de manutenção do seguro pode levar ao descredenciamento do provedor. Portanto, além de contratar, é fundamental se atentar a vigência do seguro para não ficar desprotegido em nenhum momento.
Contudo, ainda não está claro qual será exatamente a modalidade de seguro necessária para a contratação. Isso porque o texto determina apenas um “seguro de responsabilidade civil e riscos operacionais” e a importância da proteção cibernética.
Nesse sentido, o seguro de responsabilidade civil e o seguro de riscos operacionais são produtos bastante amplos, podendo ser aplicados para diferentes setores.
Portanto, como ainda não está claro, é importante aguardar as próximas informações do Banco Central para entender mais detalhes sobre quais são as modalidades que podem se enquadrar nas exigências da resolução.
No entanto, a princípio, acreditamos que três modalidades podem atender essa exigência, são elas:
Importância do seguro obrigatório de responsabilidade civil e riscos operacionais
Como destacamos, a operação de um PSTI envolve uma série de riscos, o que evidencia a importância de implementar diretrizes que ajudem na ampliação da segurança e gestão de riscos.
O seguro de responsabilidade civil e riscos operacionais, que agora é obrigatório, é uma das principais medidas para melhorar a segurança no sistema financeiro do país.
Veja quais são as principais vantagens do seguro obrigatório para o PSTI:
Mitigação de riscos financeiros
O seguro protege o PSTI contra custos elevados decorrentes de incidentes, evitando que prejuízos financeiros comprometam sua operação e o atendimento às instituições contratantes.
Proteção ao sistema financeiro
Ao garantir cobertura para riscos operacionais, o seguro contribui para a estabilidade do Sistema Financeiro Nacional (SFN) e do Sistema de Pagamentos Brasileiro (SPB), evitando impactos sistêmicos causados por falhas ou fraudes.
Conformidade regulatória
A manutenção do seguro é uma exigência do Banco Central do Brasil, integrando o conjunto de medidas de governança e gestão de riscos que asseguram o cumprimento das normas e regulamentos vigentes.
Prevenção do descredenciamento
A ausência ou a não manutenção do seguro pode ser considerada uma falha grave, podendo levar ao descredenciamento do PSTI pelo Banco Central, prejudicando sua atuação no mercado.
Confiança para as instituições contratantes
Ter o seguro obrigatório reforça a credibilidade do PSTI junto aos clientes e ao mercado, demonstrando comprometimento com a segurança e a continuidade dos serviços.
Como funciona?
O seguro obrigatório de responsabilidade civil e riscos operacionais para PSTIs funciona como uma proteção financeira contra prejuízos causados por falhas, erros, omissões, incidentes cibernéticos, fraudes ou outros eventos que afetem a operação da instituição e os serviços prestados.
Vamos imaginar o seguinte exemplo para entender melhor:
Um PSTI que opera no sistema financeiro sofre um ataque cibernético, que consegue interromper temporariamente o processamento das transações financeiras de várias instituições que utilizam seus serviços.
Além disso, devido a essa falha, algumas informações sensíveis vazam, e clientes das instituições afetadas experimentam prejuízos financeiros.
Nesse cenário, o seguro cobre os custos relacionados à investigação do incidente, reparação dos danos causados aos clientes afetados, multas regulatórias eventualmente aplicadas e despesas para restabelecer a segurança dos sistemas.
Caso não tivesse esse seguro, o PSTI poderia enfrentar sérias dificuldades financeiras, além de riscos de sanções regulatórias e até o descredenciamento pelo Banco Central, causado pela não conformidade com as normas.
Mas lembrando que cada modalidade tem coberturas específicas e ainda não sabemos exatamente qual é a modalidade exigido pelo Banco Central.
Quais são as coberturas?
Um seguro de responsabilidade civil e riscos operacionais pode incluir uma série de modalidades, principalmente quando consideramos que ele pode ser aplicado para empresas de diferentes setores.
Até então, não sabemos exatamente qual é a modalidade exigida.
No entanto, fica claro que, no caso de um PSTI, é importante contratar a cobertura mínima determinada pelo Banco Central, ou seja:
- incidentes de fraudes;
- segurança cibernética.
No entanto, os seguros de responsabilidade civil e riscos operacionais podem ser bem mais amplos.
Como consideramos que existem três modalidades que podem ser enquadradas nessa situação, vamos conferir quais são as coberturas possíveis para cada um deles:
Seguro de responsabilidade civil para empresas de tecnologia
Algumas das coberturas do seguro de responsabilidade civil para empresas de tecnologia são:
- Danos à reputação;
- Despesas cíveis;
- Acordos judiciais e extrajudiciais;
- Indenização;
- Danos morais;
- Ressarcimento e mediação;
- Calúnia, injúria e difamação;
- Multas cíveis e trabalhistas.
Quanto aos riscos excluídos, podemos citar os principais:
- Falta de confirmação prévia dos dados pelo segurado na proposta;
- Ausência de consentimento para a contratação do seguro;
- Demandas relacionadas à intermediação de resseguros;
- Reclamações referentes a solicitações de cobertura temporária;
- Cláusulas e acordos específicos estabelecidos entre as partes;
- Conduta intencional com dolo.
Seguro de riscos operacionais
Veja os riscos que costumam ser cobertos por esse seguro, lembrando que é uma modalidade bem geral e pode ser adaptada ao setor em questão:
- Danos elétricos;
- Incêndio, raio, explosão, implosão e fumaça (inclusive em tumultos, greves e lockout);
- Roubos e furtos;
- Valores em trânsito e no interior do local segurado;
- Danos a equipamentos eletrônicos e móveis;
- Quebra de máquinas;
- Lucros cessantes (lucro bruto, líquido e despesas fixas).
Já os principais riscos excluídos são:
- Atos intencionais ou com culpa grave praticados pelo segurado ou seus representantes;
- Guerra, rebelião, revolução, guerrilha e atos semelhantes;
- Atos de terrorismo reconhecidos pelas autoridades;
- Ações de grupos com objetivo de derrubar governos;
- Confisco, requisição, penhora ou destruição por ordem de autoridade;
- Danos causados por radiação nuclear, armas nucleares, químicas ou biológicas;
- Ataques cibernéticos e falhas de sistemas ou softwares relacionadas a datas;
- Vírus de computador e perda de dados eletrônicos;
- Poluição ou contaminação, salvo se causada diretamente por riscos cobertos (como incêndio);
- Acidentes causados por amianto;
- Vandalismo e saques, mesmo após o sinistro;
- Danos causados por mofo, bolor, fungos ou esporos;
- Riscos de natureza política.
Seguro cibernético
Já o seguro cibernético cobre situações como:
- Vazamento ou perda de dados confidenciais de terceiros sob responsabilidade do segurado;
- Infrações relacionadas a conteúdo digital, como plágio, uso indevido de propriedade intelectual ou roubo de ideias;
- Ataques cibernéticos originados na rede do segurado, como disseminação de malware ou vírus;
- Despesas com investigação e contenção de incidentes (remediação);
- Multas relacionadas a falhas em padrões de segurança de cartões (PCI) e custos com auditorias;
- Ameaças e tentativas de extorsão digital, como sequestro de dados;
- Perda de receita devido à interrupção das operações causada por ataques cibernéticos.
Os principais riscos excluídos são:
- Situações que o segurado já conhecia antes da vigência da apólice;
- Atos dolosos, fraudulentos ou criminosos cometidos ou permitidos por gestores da empresa;
- Falhas externas fora do controle do segurado, como queda de energia, internet ou satélites;
- Conflitos armados, tumultos, guerras civis ou revoluções;
- Falência ou insolvência do segurado ou de prestadores de serviços de TI;
- Atualizações ou melhorias voluntárias de sistemas ou redes;
- Processos trabalhistas, como demissão indevida, assédio ou discriminação;
- Riscos ambientais, como contaminação, poluição ou exposição a amianto;
- Perda de mídias portáteis não criptografadas (como notebooks, celulares, pendrives);
- Transferências eletrônicas de fundos ou bens feitas pelo segurado;
- Obrigações contratuais que não seriam exigíveis sem o contrato;
- Violações de patentes ou segredos comerciais;
- Ataques cibernéticos associados a guerras ou atribuídos a governos estrangeiros.
Como contratar o seguro de responsabilidade civil para PSTI?
A contratação do seguro de responsabilidade civil para o PSTI pode ser bastante simples, principalmente quando se busca uma boa corretora de seguros.
Isso acontece porque a corretora desempenha um papel de intermediar a relação entre o tomador e a seguradora, fazendo com que o processo possa ser mais fácil, rápido e eficiente.
Na Mutuus Seguros, por exemplo, disponibilizamos uma plataforma na qual é possível simular propostas sem sair de casa.
Assim, o primeiro passo para contratar o seguro obrigatório para PSTI é entrar em contato com uma corretora de seguros e fazer uma cotação.
Dessa forma, você poderá ter ideia das coberturas possíveis, seguradoras disponíveis e preços.
Lembrando que o corretor de seguros pode te ajudar a entender quais propostas atendem melhor às suas necessidades e sanar as possíveis dúvidas.
Por aqui, temos um time de especialistas que estão disponíveis para te atender após a simulação.
Assim que escolher a melhor proposta, é possível realizar a contratação, que inclui a assinatura da apólice e o pagamento do prêmio.
Vale destacar também que é fundamental ficar de olho na vigência do seguro, afinal, a falta de manutenção da apólice pode implicar no descredenciamento do PSTI, conforme a norma do Banco Central.
Quem faz seguro de responsabilidade civil?
Considerando as modalidades de responsabilidade civil profissional, riscos operacionais e cibernéticos, podemos citar as seguintes seguradoras:
- Akad Seguros;
- Zurich Seguros;
- Sompo Seguradora;
- AXA Seguros;
- Porto Seguro;
- Swiss Re;
- Tokio Marine Seguradora.
Conclusão
Como vimos, a resolução n° 498 do Banco Central implementou novas diretrizes para a atuação do PSTI, visando uma melhoria da segurança no setor.
Isso significa que os provedores precisam se adequar para garantir a legalidade e evitar possíveis descredenciamentos.
Uma das principais mudanças da resolução BCB é justamente a obrigatoriedade da contratação de um seguro de responsabilidade civil e riscos operacionais, pensando na melhoria da gestão de riscos.
Embora possa parecer complexa, a contratação de um seguro é mais simples do que parece quando se faz com a Mutuus Seguros.
Por aqui, garantimos uma contratação rápida e digital. Clique no link e faça a sua simulação hoje mesmo!
Ficou com alguma dúvida?