O Banco Central anunciou mudanças na resolução que regula os Provedores de Serviços de Tecnologia da Informação (PSTIs) no Sistema Financeiro Nacional e no Sistema de Pagamentos Brasileiro. A resolução 547 consolidou e tornou mais detalhados os requisitos para credenciamento e operação dessas empresas que sustentam a infraestrutura tecnológica do sistema financeiro.
Entre as novas obrigações estão a exigência de planos de continuidade de negócios com testes e revisões com periodicidade anual, bem como políticas obrigatórias de gestão de crises operacionais e de fraudes. Além disso, passam a valer obrigações técnicas de monitoramento de interfaces, varredura periódica dos ambientes tecnológicos e definição e acompanhamento de parâmetros operacionais dos serviços.
A norma amplia a gestão de riscos, controles internos e conformidade. PSTIs devem manter uma estrutura formal adequada ao porte e complexidade da organização e, anualmente, elaborar um relatório de riscos e controles internos, com aprovação do conselho de administração e envio ao BC até o último dia útil de maio do ano seguinte, incluindo exames, recomendações e planos de correção.
O capital mínimo continua em 15 milhões de reais, mas o BC passa a poder exigir montantes superiores a qualquer tempo, de forma proporcional ao volume de operações, à base de clientes e ao perfil de risco do provedor. Diferentemente do regime anterior, essa exigência integra o monitoramento contínuo, não apenas o credenciamento.
Há ainda regras sobre controle societário: fica vedada a participação de fundos de investimento como controladores ou integrantes do grupo de PSTIs. Critérios de reputação e capacitação técnica passam a seguir parâmetros próximos aos usados para instituições financeiras, considerando processos criminais, administrativos, insolvência e inadimplementos. Mandatos passam a ter duração máxima de quatro anos, renováveis, e aumentam as obrigações de comunicação ao BC sobre nomeações, desligamentos e descumprimentos das condições exigidas.
A auditoria independente ganha papel mais destacado: além da auditoria das demonstrações financeiras, a norma pode exigir relatórios de asseguração razoável para comprovar atendimento aos requisitos regulatórios. O BC também pode determinar auditorias adicionais e exigir o compartilhamento de relatórios com a autarquia e com as instituições contratantes.
Especialistas apontam que as mudanças aproximam o tratamento dado aos PSTIs ao aplicado aos próprios agentes regulados pelo BC, reforçando a mitigação de riscos cibernéticos e operacionais no ecossistema financeiro.