O Banco Central apertou as regras para credenciamento e atuação dos Provedores de Serviços de Tecnologia da Informação no Sistema Financeiro Nacional e no Sistema de Pagamentos Brasileiro. Uma nova resolução (547), torna os requisitos mais completos, claros e restritivos às empresas que sustentam a infraestrutura tecnológica do sistema financeiro, reforçando a mitigação de riscos operacionais e cibernéticos e aproximando do tratamento aplicado aos próprios agentes financeiros.
A resolução reforça as exigências relacionadas à continuidade de negócios, à gestão de crises e à prevenção de fraudes. Os planos de continuidade passam a exigir testes e revisões com periodicidade mínima anual, enquanto políticas específicas de gestão de crises operacionais e de fraudes tornam-se obrigatórias. Também são ampliadas as obrigações técnicas relativas ao monitoramento de interfaces, à varredura periódica dos ambientes tecnológicos e à definição e acompanhamento de parâmetros operacionais dos serviços prestados.
A norma amplia as obrigações relacionadas à gestão de riscos, controles internos e conformidade. Os PSTIs passam a ser obrigados a manter estrutura formal compatível com seu porte e complexidade e a elaborar, anualmente, um relatório de riscos e controles internos. Esse documento deve ser aprovado pelo conselho de administração e encaminhado ao Banco Central até o último dia útil de maio do ano seguinte, contendo conclusões dos exames realizados, recomendações, cronogramas de correção e manifestações das áreas responsáveis.
O valor mínimo de capital inicial permanece em R$ 15 milhões, mas o BC passa a ter competência expressa para exigir, a qualquer tempo, montantes superiores, de forma proporcional ao volume de operações, à quantidade de clientes e ao perfil de risco do provedor. Diferentemente da regra anterior, essa exigência deixa de se limitar ao momento do credenciamento e passa a integrar o monitoramento contínuo.
A nova resolução também trata de controle societário e veda expressamente a participação de fundos de investimento como controladores ou integrantes do grupo de controle de PSTIs. Critérios de reputação e capacitação técnica passam a seguir parâmetros semelhantes aos adotados para instituições financeiras – levando em conta processos criminais, administrativos, situações de insolvência, inadimplementos e ocorrências correlatas. Mandatos devem ser de no máximo de quatro anos, renováveis, e aumentam as obrigações de comunicação ao Banco Central sobre nomeações, desligamentos e eventuais descumprimentos das condições exigidas. Alterações ou transferências de controle societário tornam-se objeto de comunicação obrigatória.
O papel da auditoria independente ganha maior destaque. Além da auditoria das demonstrações financeiras anuais, a norma passa a admitir e, em alguns casos, a exigir relatórios de asseguração razoável para comprovação do atendimento aos requisitos regulatórios. O Banco Central também poderá determinar auditorias adicionais e exigir o compartilhamento de relatórios com a autarquia e com as instituições contratantes.
