Leituras estruturadas,
implicações concretas

Em setembro de 2025, o Banco Central publicou a Resolução BCB nº 498 e a Instrução Normativa BCB nº 664, estabelecendo um novo marco regulatório para a atuação de Provedores de Serviços de Tecnologia da Informação (PSTIs) no Sistema Financeiro Nacional.

A motivação é direta: a falha sistêmica não está apenas na tecnologia, mas na ausência de estruturas formais de governança, continuidade e resposta a incidentes nas organizações que operam essa infraestrutura crítica.

O Pix deixou de ser apenas um meio de pagamento. Em 2024, o arranjo processou mais de 60 bilhões de transações — um volume que torna qualquer interrupção ou comprometimento um evento de impacto sistêmico imediato. Nesse ecossistema, os PSTIs — empresas que conectam bancos, fintechs e instituições de pagamento à Rede do Sistema Financeiro Nacional (RSFN) — ganharam centralidade operacional e regulatória. A falha de um PSTI não afeta apenas a empresa contratante. Afeta, simultaneamente, todos os participantes que dependem daquela conexão.

Em 2025 e 2026, uma série de ataques reposicionou o debate sobre governança e continuidade no ecossistema de pagamentos instantâneos — e tornou evidente que a regulação vigente era insuficiente.

Agosto de 2025 — Sinqia
Um ataque à Sinqia, PSTI homologado pelo Banco Central, resultou no desvio de aproximadamente R$ 670 milhões. Os recursos pertenciam a instituições financeiras que utilizavam a infraestrutura da empresa como intermediária no SPI. O ataque explorou vulnerabilidades nos servidores da Sinqia, sem afetar a infraestrutura central do Banco Central.

Janeiro de 2026 — Banco do Nordeste
A invasão ocorreu por meio de falha em um PSTI contratado pelo banco para intermediar transações Pix. Os criminosos exploraram vulnerabilidades no prestador de serviços, comprometendo a infraestrutura de transações e forçando a suspensão temporária do Pix pela instituição.

Março de 2026 — BTG Pactual
Ataque à Conta de Pagamentos Instantâneos (Conta PI) do BTG Pactual desviou aproximadamente R$ 100 milhões. O incidente, classificado como o terceiro ataque estrutural ao Pix apenas em março de 2026, expôs a fragilidade na resposta coordenada mesmo em participantes diretos de grande porte.

Em todos os casos, o padrão se repete: o vetor de ataque não foi o núcleo do sistema, mas seus pontos de conexão — PSTIs, fornecedores de software de autenticação e prestadores de serviços terceirizados. E, em todos os casos, a incapacidade de responder com rapidez e coordenação ampliou o impacto além do necessário.

Segurança cibernética com padrão internacional
Implementação de políticas alinhadas a normas como ISO 27001 e NIST CSF. Isolamento físico ou lógico dos ambientes do Pix e do STR. Criptografia de ponta a ponta, rastreabilidade completa das transações e monitoramento de incidentes 24 horas por dia, 7 dias por semana.

Plano de continuidade de negócios documentado e testado
Não basta ter um plano — é necessário demonstrar que ele funciona. A norma exige a manutenção de um centro de processamento secundário e a realização de testes periódicos de contingência. A conformidade precisa ser comprovada.

Auditoria independente anual
Cobertura obrigatória de segurança da informação, incluindo controles de chaves criptográficas, validação de mensagens e conformidade com a regulação vigente. O relatório de auditoria é o documento exigido para a obtenção de exceção ao limite transacional de R$ 15 mil por operação.

Gestão de fraudes e canal de reporte
Sistema de detecção em tempo real de transações atípicas, canal formal de reporte ao Banco Central e mecanismos documentados para interrupção do fluxo de operações em caso de comprometimento.

Seguro de responsabilidade civil operacional
Cobertura obrigatória para risco operacional, incluindo incidentes de cibersegurança e fraudes. Na prática, seguradoras exigirão evidência de governança estruturada antes de emitir a apólice.

Responsabilidade compartilhada com as instituições contratantes
As instituições financeiras que contratam PSTIs passam a ser corresponsáveis pela supervisão da conformidade do prestador. Isso amplia o escopo de governança para além das fronteiras da própria organização.

Instituições que se conectam ao SPI por meio de PSTIs e não comprovarem conformidade com os requisitos ficam sujeitas ao limite de R$ 15 mil por transação — tanto em Pix quanto em TED.

Para a maioria das operações B2B e para qualquer instituição com volume relevante de transações, esse limite inviabiliza o negócio.

A dispensa temporária desse limite, por até 90 dias, exige solicitação formal ao Banco Central, apresentação de plano de medidas de segurança já adotadas e análise de adequação pelo regulador.

Os incidentes de 2025–2026 não revelam uma falha de tecnologia. Revelam uma falha de estrutura.

Em todos os casos documentados, as organizações possuíam sistemas funcionando, equipes técnicas e controles estabelecidos. O que falhou foi a capacidade de responder de forma coordenada quando esses controles foram contornados: quem toma a decisão de interromper o sistema, em quanto tempo, com que critérios, quem comunica ao Banco Central e como.

Essa capacidade não se constrói no momento do incidente.
Ela já existe — ou não existe — antes dele.

A Resolução BCB nº 498/2025 reconhece isso ao exigir não apenas controles técnicos, mas estruturas organizacionais: planos documentados, testes realizados, auditorias formais e seguros contratados.

O regulador está sinalizando que a conformidade técnica não é suficiente. É necessária maturidade de governança.

Para os PSTIs, isso representa uma transformação de posicionamento: de prestadores de serviço de conectividade para operadores de infraestrutura crítica, sujeitos a padrões equivalentes aos das instituições financeiras que servem.

Para as instituições que os contratam, o desafio é igualmente estrutural: incorporar a supervisão do PSTI ao próprio modelo de governança — e não tratar a terceirização como transferência de responsabilidade.

A recorrência e a escala dos ataques em 2025–2026 consolidam uma mudança de perspectiva que a Resolução BCB nº 498/2025 formaliza: no ecossistema de pagamentos instantâneos, governança e continuidade deixaram de ser boas práticas e passaram a ser condição de operação.

Para organizações inseridas nesse ecossistema — como participantes diretos ou indiretos do SPI, PSTIs homologados ou instituições que os contratam — isso implica:

• revisão e formalização do plano de continuidade de negócios com foco específico na operação do Pix e do STR
• estruturação de mecanismos claros de decisão e comunicação para cenários de incidente
• alinhamento da política de segurança cibernética às normas internacionais exigidas
• contratação de auditoria independente com escopo compatível com os requisitos da Resolução
• supervisão formal da conformidade de PSTIs contratados como parte do modelo de governança

O prazo regulatório não é indefinido.
E a experiência dos últimos meses demonstra que os vetores de ataque estão ativos e em evolução.