O Banco Central do Brasil anunciou as resoluções BCB nº 496/2025 e 497/2025, parte de um pacote regulatório que reforça a governança de tecnologia da informação (TI) e a segurança da informação no sistema financeiro nacional. O objetivo é promover inovação com controles robustos, garantindo resiliência frente aos riscos de uma economia cada vez mais digital.
Resolução 496/2025 – Segurança e governança no Pix. A norma atualiza dispositivos da Resolução 1/2020, exigindo que pedidos de autorização de instituições de pagamento ou participantes do Pix sejam acompanhados de documentação que comprove as medidas de segurança da informação e os controles adotados. Além disso, a norma estabelece limite de R$ 15.000,00 por transação para instituições que acessam a RSFN via PSTI ou que ainda não possuam autorização. Parte das medidas tem vigor imediato, enquanto outras exigem adequação em até 180 dias.
Resolução 497/2025 – Novas regras para TEDs. Em sintonia com o foco no controle de operações críticas, a norma altera a Resolução 256/2022 para prever que instituições conectadas à RSFN por meio de PSTI não poderão emitir TEDs de valor igual ou superior a R$ 15.000,00, mesmo em situações de contingência. O objetivo é manter transferências sensíveis em ambientes sob controle direto da instituição.
Um novo olhar sobre segurança e tecnologia. Embora não detalhe padrões técnicos, as resoluções elevam a expectativa de governança de TI, ressaltando que a segurança é pilar regulatório e estratégico. As instituições que desejam permanecer competitivas devem aprimorar controles internos, gestão de riscos tecnológicos e a supervisão de PSTIs, incluindo revisão de contratos, planos de continuidade, políticas de segurança e capacitação de equipes.
Conseqüências práticas e papel da GRC. Mesmo sem penalidades diretas no texto, o Bacen mantém mecanismos de sanção e restrição operacional para quem não cumprir os requisitos. O risco reputacional também é real. Nesse cenário, equipes de Governança, Risco e Conformidade (GRC) tornam-se ainda mais relevantes, traduzindo exigências regulatórias em ações práticas, como validação de controles, monitoramento de métricas de risco e testes de vulnerabilidade. A mensagem é clara: a inovação no sistema financeiro deve andar junto com uma infraestrutura auditável, segura e capaz de sustentar a confiança do público.
