O que está em jogo para quem toma decisão é que a Resolução 498 não é apenas um ajuste técnico, mas um convite à maturidade operacional: empresas que tratam a adequação como projeto de gestão, com metas claras, cronograma factível e governança ativa, tendem a ganhar previsibilidade, solidez na relação com o regulador e força de negociação com clientes e parceiros. Por outro lado, empresas que não agirem de forma imediata poderão ser excluídas do mercado, ao menos no que se refere aos serviços prestados às instituições financeiras, por conta do não credenciamento ou mesmo descredenciamento.

Ao publicar a Resolução BCB nº 498, em 5 de setembro de 2025, o Banco Central deixou claro que o acesso à rede do Sistema Financeiro Nacional (RSFN) por meio de provedores de serviços de tecnologia da informação (PSTI)  passa a seguir regras mais rígidas de segurança e governança, o que na prática significa determinar que estas empresas, prestadoras de serviços com interface ao Sistema Financeiro Nacional, deverão oferecer aos seus clientes (instituições financeiras e fintechs), um maior controle sobre os procedimentos, de modo a garantir aderência aos novos requisitos regulatórios e evitar riscos de descontinuidade ou de não conformidade com as diretrizes do Bacen.

Esta Resolução surge em um momento em que as organizações criminosas e agentes externos mal-intencionados estão se valendo da vulnerabilidade das estruturas tecnológicas das instituições financeiras para realizar fraudes, ataques cibernéticos e outras práticas ilícitas que comprometem a segurança do sistema financeiro e a confiança dos usuários.

A nova Resolução nos traz a ideia de que o PSTI, funcionará como um agente facilitador e integrador do tráfego de informações (e não mais apenas como meros fornecedores de tecnologia), que presta as instituições financeiras serviços de infraestrutura tecnológica para o processamento de dados e gerenciamento de redes para fins de acesso à rede do sistema financeiro nacional.

Considerando que o PSTI é a empresa de tecnologia que processa dados para que bancos, instituições de pagamento e fintechs se conectem à RSFN e se a sua operação faz parte da cadeia de serviços que viabiliza essa “ponte” para acesso à RSFN, a norma conversará diretamente com o seu dia a dia, ainda que o contrato atual não traga todas as cláusulas que a Resolução agora impõe.

Por exemplo, a exigência de isolar os ambientes que tratam Pix e STR, inclusive em nuvem, com instâncias dedicadas, desloca projetos de TI do plano conceitual para o cronograma de execução, porque, a partir de agora, existe a necessidade de um novo realinhamento das topologias, documentar integrações, reforçar gestão de chaves e acessos e garantir trilhas de auditoria que se sustentam diante de testes independentes, com impacto natural em Opex quando a segregação não existe ou é apenas parcial.

Sob a ótica de pessoas e governança, a mudança aparece com nomes e responsabilidades definidos para segurança da informação, riscos, compliance e resposta a crises, além da necessidade de estrutura financeira compatível com o porte, incluindo capital mínimo de R$ 15 milhões e demonstrações auditadas. Não se trata de “papeis de gaveta”, mas de um ciclo vivo de gestão que envolve planejamento, registro de decisões, testes periódicos e prestação de contas a clientes e ao regulador.

Já quando se fala em incidente, a conversa ganha contornos operacionais e reputacionais imediatos, porque falhas relevantes exigirá uma comunicação rápida ao Banco Central e a sua falta, poderá resultar em medidas que vão desde a limitação da operação à suspensão definitivo dos serviços. Dessa forma, as empresas devem manter as equipes de prontidão e cenários de contingência com planos de continuidade dos negócios que funcionem sem depender de improviso.

Do lado contratual, a diligência é ainda mais robusta e passa a pedir cláusulas mais rigorosas sobre auditorias, direito de inspeção, prazos e formatos de notificação de incidentes, seguros que cubra responsabilidade civil e riscos operacionais, com menção explícita a incidentes de fraude e segurança cibernética e regra de governança capaz de exigir que o cliente seja informado nos casos de alteração societária, estrutura organizacional de controle e /ou administração do PSTI, o que leva a exigir evidências e planos de ação com datas e pessoas responsáveis.

Os prazos definidos na Resolução são desafiadores e pressionam as empresas com janelas curtas para implementar itens críticos de segurança e comprovação. Transformar ajustes previsíveis em correções emergenciais costuma custar mais caro e expor a operação a indisponibilidades desnecessárias.

Assim, as empresas que se enquadram na definição de PSTI devem iniciar o quanto antes o mapeamento e plano de ação para a adequação à Resolução BCB nº 498, desde os ajustes do capital social, implementação de diretorias, contratação ou ajustes nas apólices de seguros, instituição de comitês, implementação de tecnologias de segurança cibernética , definição de políticas de gestão etc., de forma a evitar a impossibilidade de atuação por conta do descredenciamento pelo Banco Central.

Em paralelo, deve-se revisar contratos com foco em auditoria, relatórios, prazos de comunicação e as coberturas de seguros, alinhando com finanças o efeito no caixa e a curva de investimentos dos próximos meses.