O Banco Central do Brasil determinou que os PSTIs (Provedores de Serviços de Tecnologia da Informação) terão até o dia 30 deste mês para reforçar seus mecanismos de segurança digital. O prazo de 15 dias, que começou a contar ontem, segunda-feira, 15 de setembro, foi oficializado pela Instrução Normativa BCB nº 664, publicada no Diário Oficial da União. As medidas incluem auditoria detalhada das transações e controles mais rígidos de acesso a sistemas internos.
Esses provedores funcionam como intermediários que conectam bancos, fintechs e o próprio Banco Central, garantindo a circulação de informações entre as instituições. Na prática, são peças fundamentais para que transferências bancárias e pagamentos instantâneos, como o Pix, aconteçam de forma estável e segura.
Onda de ataques digitais pressiona Banco Central a agir
A determinação do Banco Central acontece em meio a uma sequência de ataques cibernéticos contra empresas e instituições ligadas ao sistema financeiro. Nos últimos meses, foram registrados incidentes que tiveram como alvos as empresas C&M Software, Sinqia, Monetarie, Banco Triângulo e Monbank.
Diante desse cenário, o Banco Central já havia anunciado no início de setembro um primeiro pacote de medidas para aumentar a proteção do sistema. Essas regras foram estabelecidas pelas Resoluções BCB nº 494, 495, 496, 497 e 498, que definiram, entre outros pontos: limites menores para transferências via Pix e TED, fixados em 15 mil reais, aplicados a instituições de pagamento não autorizadas e também às que se conectam ao sistema financeiro por meio dos PSTIs; aprovação prévia do Banco Central para a entrada de novas instituições no sistema, com critérios mais rígidos de autorização; e confirmação de certificação técnica para atuar na rede.
Novas regras para acesso e segurança
Com a Instrução Normativa BCB nº 664, os PSTIs terão que registrar trilhas de auditoria completas, permitindo rastrear eventuais falhas ou acessos suspeitos. Também será necessário revisar constantemente as permissões, que são as autorizações concedidas a funcionários e sistemas para acessar determinados ambientes digitais, de modo a garantir que apenas quem realmente precisa tenha contato com informações sensíveis.
Outro ponto central é o uso de múltiplos fatores de autenticação. Nesse caso, além da senha, o usuário deve confirmar sua identidade por outro recurso, como um código enviado ao celular ou reconhecimento facial.
Ambientes considerados mais críticos, como o Pix e o Sistema de Transferência de Reservas (STR), responsável por liquidar operações financeiras no país, também entram na lista de prioridade máxima e precisarão cumprir exigências adicionais de proteção.
Prazos curtos e próximos passos
Embora o prazo seja curto para implementar ajustes técnicos de alta complexidade, o Banco Central sustenta que a urgência se justifica pelo aumento da frequência e da sofisticação dos ataques virtuais. Além das mudanças que precisam estar em vigor até o dia 30 de setembro, as demais medidas previstas nas Resoluções BCB nº 494 a 498, que tratam de segurança da informação, cibernética e gestão de fraudes, terão prazo adicional de 30 dias para implementação.
Com as medidas, o Banco Central busca elevar o nível de proteção da infraestrutura que sustenta o sistema de pagamentos brasileiro. O objetivo é reduzir vulnerabilidades, aumentar a rastreabilidade das operações e dar mais segurança para instituições e usuários em um cenário cada vez mais marcado por ataques digitais.
