Banco Central baixa norma que aumenta exigências para Provedores de Serviços de TI
Autoridade monetária reforça o nível de exigência regulatória sobre empresas que pretendem atuar conectadas à Rede do Sistema Financeiro Nacional.
O Banco Central publicou uma instrução normativa que detalha os procedimentos, documentos e prazos exigidos para o credenciamento e descredenciamento de Provedores de Serviços de Tecnologia da Informação (PSTI), empresas que operam infraestruturas críticas de processamento de dados no Sistema Financeiro Nacional.
A norma organiza o fluxo administrativo para essas autorizações e reforça o nível de exigência regulatória sobre empresas que pretendem atuar conectadas à Rede do Sistema Financeiro Nacional (RSFN), base tecnológica que sustenta operações entre instituições financeiras e o sistema de pagamentos.
Na prática, a medida amplia o controle regulatório sobre empresas de tecnologia que atuam como prestadoras de serviços essenciais ao sistema financeiro. Ao detalhar requisitos e procedimentos, o Banco Central mira na redução de riscos operacionais e cibernéticos e aumentar a previsibilidade nos processos de autorização.
O texto estabelece que o pedido de credenciamento deve ser feito por meio digital e acompanhado de um conjunto extenso de documentos que vão além de informações cadastrais. As empresas interessadas precisarão comprovar estrutura técnica, capacidade operacional e solidez financeira, além de apresentar um plano de negócios detalhado e evidências de que conseguem operar com segurança e continuidade.
Entre as exigências, estão certificações internacionais de segurança da informação, contratação de auditorias independentes e a realização de testes periódicos, como simulações de continuidade de negócios e testes de intrusão. Também passa a ser obrigatória a contratação de seguro para cobertura de riscos operacionais, incluindo incidentes cibernéticos e fraudes digitais.
O Banco Central exige a identificação completa dos controladores e administradores, que devem comprovar reputação ilibada e qualificação técnica. Além disso, os dirigentes precisam autorizar o acesso da autoridade a dados pessoais e a informações em bases públicas e privadas, incluindo eventuais processos judiciais ou administrativos.
A norma também introduz a obrigatoriedade de um plano de saída ordenada, mecanismo que detalha como a empresa encerraria suas atividades sem comprometer a operação de clientes. Esse tipo de exigência aproxima o tratamento regulatório dos PSTIs ao aplicado a instituições financeiras, refletindo a crescente criticidade desses prestadores na infraestrutura do sistema.
Para o descredenciamento, o processo também é formalizado. A empresa deverá comprovar que encerrou suas operações, desativou conexões com a RSFN e executou integralmente o plano de saída, garantindo que não haja impactos para instituições atendidas.
Além disso, a instrução normativa define prazos específicos para comunicação de eventos relevantes. Mudanças na administração devem ser informadas em até dez dias, enquanto o desligamento de executivos precisa ser comunicado em até três dias úteis. Alterações no controle societário têm prazo de até quinze dias para notificação ao Banco Central.
