A publicação da Resolução BCB nº 498 representa um marco regulatório importante para o fortalecimento da segurança do sistema financeiro brasileiro. Em um contexto em que incidentes cibernéticos têm se tornado mais frequentes e sofisticados, a norma surge como resposta direta à necessidade de elevar padrões de governança, gestão de riscos e resiliência operacional de fornecedores críticos de tecnologia.
Essa mudança regulatória não só reforça a responsabilidade das instituições e dos provedores de serviços de tecnologia, como também coloca a gestão do risco humano no centro da estratégia de proteção do setor.
A resolução disciplina os requisitos, os procedimentos e as condições para o credenciamento de Provedores de Serviços de Tecnologia da Informação (PSTI) que prestam serviços de processamento de dados com acesso à Rede do Sistema Financeiro Nacional, a RSFN.
Ao estabelecer esse marco, o regulador busca reduzir vulnerabilidades que podem se propagar por toda a cadeia do sistema financeiro, garantindo maior transparência sobre a capacidade técnico-operacional, a governança e os mecanismos de continuidade dos provedores.
Além de reorganizar exigências técnicas para acesso e operação, a norma expande o foco regulatório para controles de governança, segregação de funções, comprovação de certificações, auditorias independentes e planos de continuidade testados.
Em termos práticos, a Resolução BCB nº 498 transforma determinados requisitos — antes considerados boas práticas — em condições formais para credenciamento e manutenção do vínculo com o sistema financeiro.
A Resolução BCB nº 498 traz um conjunto robusto de medidas que impactam diretamente fornecedores e instituições que dependem desses serviços.
Entre os requisitos que merecem destaque estão a designação de responsáveis com capacitação técnica compatível, a segregação de funções entre áreas críticas, a comprovação de certificação de segurança da informação reconhecida internacionalmente, auditoria externa anual e a elaboração de planos de continuidade de negócios com testes periódicos.
Outro eixo central é a exigência de mecanismos de monitoramento e resposta a incidentes, bem como de planos de saída ordenada que minimizem impactos sistêmicos em caso de descontinuidade dos serviços.
Um ponto frequentemente citado na interpretação da norma é a atenção dada a seguros para riscos operacionais e incidentes cibernéticos. A Resolução exige níveis mínimos de cobertura para determinados perfis de fornecedor, o que, na prática, amplia a responsabilidade financeira sobre gestão de risco e constitui um incentivo para que provedores alcancem maturidade mínima em controles de segurança.
Essas exigências convergem para um objetivo: reduzir a probabilidade e o impacto de interrupções que alcancem participantes do Sistema de Pagamentos Brasileiro e outras instituições supervisionadas.
A norma deixa claro que a governança deve ser proporcional ao porte, à complexidade e ao perfil de risco do PSTI. Isso significa que pequenas empresas não serão regidas por obrigações idênticas às de provedores sistêmicos, mas terão que demonstrar, de forma mensurável, que suas estruturas de decisão, controles internos e processos de gestão de riscos são adequados ao serviço que prestam.
A exigência de segregação entre gestão executiva, risco, compliance, segurança da informação e auditoria interna busca exatamente mitigar conflitos de interesse que historicamente dificultaram avaliações independentes de risco.
Na prática, as instituições contratadas e o próprio Banco Central terão mais instrumentos para monitorar a entrega de serviços críticos. Relatórios periódicos, auditorias externas e a possibilidade de solicitar informações adicionais ao prestador ampliam a visibilidade regulatória sobre o ecossistema de terceiros.
Do ponto de vista de gestão de risco, isso eleva a necessidade de processos formais de identificação, avaliação, tratamento e comunicação de riscos, inclusive aqueles relacionados à cadeia de fornecedores.
Para provedores que atuam junto à RSFN, a consequência imediata é a necessidade de elevar padrões operacionais e organizacionais. Além do cumprimento técnico, será preciso demonstrar capacidade de continuidade, planos de contingência testados e certificações reconhecidas, ou asseguração independente equivalente.
Para instituições financeiras, o novo marco implica em maior rigor na seleção, no monitoramento e na exigência de controles contratuais aos PSTI, incluindo cláusulas sobre segurança, confidencialidade, retirada ordenada e comprovação de seguros.
Financeiramente, os requisitos — especialmente seguros e auditorias — podem aumentar custos operacionais dos provedores. Entretanto, essa internalização de custos pela cadeia tende a reduzir o risco agregado do sistema.
A experiência regulatória em outros países sinaliza que padrões mais rígidos, embora onerem no curto prazo, contribuem para menos incidentes sistêmicos e custos menores associados a recuperação e mitigação no médio prazo.
Embora a Resolução BCB nº 498 enfoque controles técnicos, certificações e governança, há uma dimensão que atravessa todas as exigências: o risco humano. Processos, políticas e tecnologia só são efetivos na medida em que as pessoas as aplicam, mantêm e evoluem.
A manipulação social, erros operacionais, decisões sob pressão e falhas de comunicação continuam sendo vetores capazes de contornar controles formais, principalmente quando o ambiente organizacional favorece decisões rápidas e pouco verificadas.
O regulador, ao exigir segregação de funções, responsabilidade diretiva e auditorias, endereça também a necessidade de responsabilidades claras e de cultura organizacional que priorize segurança.
Porém, transformar exigência normativa em prática cotidiana passa por investir em formação técnica, em treinamentos que explicam não só o quê mas o porquê das medidas, e em rotinas que permitam a revisão deliberada de decisões críticas. Em outras palavras, a gestão do risco humano é o elo que conecta a governança à eficácia operacional.
A conformidade à Resolução BCB nº 498 não deve ser encarada como checklist estático. Para reduzir verdadeiramente a superfície de risco, instituições e provedores precisam integrar medidas técnicas, processos e cultura organizacional.
Isso envolve, entre outras ações, fortalecer processos de onboarding e offboarding de profissionais, estabelecer canais claros e independentes para reporte de incidentes, promover exercícios de resposta a incidentes que simulem falhas humanas e institucionais, e incorporar métricas de comportamento e aderência ao controle nos indicadores de risco.
Além disso, programas de treinamento devem ser projetados para explicar vieses cognitivos comuns que levam a erros e exploração por engenharia social, e não apenas para instruir sobre procedimentos. Treinos que simulam cenários reais e que oferecem feedback direto tendem a promover mudanças de comportamento mais duradouras do que campanhas unicamente informativas.
A Resolução BCB nº 498 cria um ambiente de maior responsabilização e transparência, mas também apresenta desafios operacionais. Provedores menores terão que investir em governança e controles para manter acesso ao mercado, e instituições financeiras precisarão rever contratos e seus processos de gestão de terceiros.
Esse ajuste, no entanto, pode gerar oportunidades: a demanda por serviços de segurança, por auditorias independentes e por soluções de continuidade e monitoramento deve crescer, fomentando um mercado mais maduro e resiliente.
Para o setor como um todo, a norma representa um convite à profissionalização da segurança cibernética e da gestão de risco em provedores. Ao transformar requisitos antes informais em exigências formais, o Banco Central aumenta a previsibilidade do ambiente regulatório e incentiva investimentos que elevem a capacidade de resposta a incidentes sistêmicos.
A Resolução BCB nº 498 é, ao mesmo tempo, um esforço técnico e uma mensagem clara: o funcionamento seguro do sistema financeiro depende de padrões mínimos, de governança efetiva e da capacidade de mitigar riscos que emergem tanto de falhas tecnológicas quanto de comportamentos humanos.
Ao exigir certificações, auditorias, seguros e planos de continuidade, o regulador busca reduzir a probabilidade e o impacto de eventos que possam comprometer a RSFN e o SPB.
No entanto, as melhores normas só entregam resultados se traduzidas em práticas organizacionais que considerem o fator humano. Investir em cultura, em treinamento com foco em comportamento e em processos que incentivem a reflexão antes da ação é tão crucial quanto implementar firewalls ou políticas de acesso. A conformidade regulatória e a redução efetiva do risco só se consolidam quando tecnologia, governança e pessoas trabalham de forma integrada.
Para instituições e provedores, o desafio é claro: transformar obrigações normativas em resiliência operacional real, com atenção especial à forma como decisões humanas podem amplificar ou mitigar riscos.
Se você atua no setor financeiro ou presta serviços a ele, agora é o momento de revisar contratos, avaliar maturidade de fornecedores, reforçar governança e, sobretudo, mapear ações práticas para reduzir o risco humano. A Resolução BCB nº 498 estabelece o caminho, a prática cotidiana e a cultura organizacional determinam se chegaremos ao destino desejado.
1º PAINEL ESKIVE - Desafios e Estratégias contra o Cibercrime no Brasi
Confira um debate multifacetada entre nossa CEO, Priscila Meyer, e especialistas do mercado sobre o universo dos golpes, fraudes e crimes cibernéticos no Brasil. ⭣