Resolução BCB nº 498/2025 estabelece os requisitos, procedimentos e condições para o credenciamento de Provedores de Serviços de Tecnologia da Informação (PSTI) que prestam serviços de processamento de dados com acesso à RSFN (Rede do Sistema Financeiro Nacional). A norma exige, entre outros pontos, governança corporativa com diretores responsáveis (segurança da informação/cibernética, riscos/compliance e gestão de crises), patrimônio líquido mínimo de R$ 15 milhões, auditoria independente, certificação de segurança da informação, Plano de Continuidade de Negócios testado e a contratação de seguro de responsabilidade civil e de riscos operacionais, incluindo incidentes de fraude e segurança cibernética. 

O impacto é direto para PSTIs (que precisam se credenciar e manter todos os requisitos) e também para fintechs e demais instituições supervisionadas, que só podem contratar PSTIs credenciados e devem monitorar a adequação desses provedores. A Resolução prevê ainda medidas cautelares e descredenciamento em casos de descumprimento, falhas graves ou incidentes que comprometam a RSFN. 

Ao longo deste conteúdo, mostramos como se adequar à Resolução BCB 498 de forma objetiva, cobrindo o que a norma exige e quais frentes precisam ser comprovadas para manter o credenciamento e a operação em conformidade. 

Resumo rápido (o que muda, quem precisa, prazos, seguros) 

  A Resolução BCB nº 498/2025 estabelece requisitos, procedimentos e condições para o credenciamento de Provedores de Serviços de Tecnologia da Informação (PSTI) que prestam serviços de processamento de dados para fins de acesso à RSFN (Rede do Sistema Financeiro Nacional). O credenciamento previsto na norma não configura autorização para o funcionamento da atividade econômica do PSTI e não altera seus deveres legais e contratuais com clientes e parceiros (Art. 1º e parágrafo único). 

 A Resolução também define conceitos aplicáveis (Art. 2º): “comunicação eletrônica de dados” (transferência de informações entre sistemas computacionais), RSFN (estrutura de comunicação que ampara o tráfego de informações no SFN para serviços autorizados) e PSTI (entidade credenciada apta a prestar serviços de processamento de dados para acesso à RSFN). 

 
No âmbito do credenciamento (Cap. I), a norma aponta requisitos mínimos como adesão às regras da RSFN, capacidade técnico-operacional, governança com diretores responsáveis, segurança da informação e cibernética, auditoria independente, certificação reconhecida, Plano de Continuidade de Negócios e contratação de seguro de responsabilidade civil e riscos operacionais, incluindo fraudes e incidentes cibernéticos (Art. 3º). 

A quem a Resolução BCB 498 impacta 

A Resolução BCB nº 498/2025 impacta todos os agentes ligados ao credenciamento de PSTI e ao acesso à RSFN: 

• PSTIs (atuais e potenciais) — Devem se credenciar no Bacen e manter requisitos técnicos e operacionais, de segurança da informação/cibernética, governança, auditoria/certificação e seguros (Cap. I; Art. 3º). O descumprimento pode levar a medidas cautelares e descredenciamento (Cap. II; Art. 9º). 
• Instituições financeiras e demais supervisionadas — Só podem contratar PSTIs credenciados para acessar a RSFN e devem monitorar continuamente a adequação do PSTI, manter a posse das chaves privadas e cumprir controles de segurança (Art. 35). 
• Controladores e administradores de PSTI — Precisam comprovar idoneidade, reputação e qualificação técnica/experiência compatíveis com as funções (Art. 5º). 
• Entidades vedadas ao credenciamento — Operadoras da RSFN, prestadores de gerenciamento/monitoramento da RSFN, instituições supervisionadas (salvo atuação intra-grupo, com segregação e condições), e partes relacionadas, entre outras restrições (Art. 6º). 

Quem são os PSTIs 

Segundo a própria Resolução (Art. 2º, III), PSTI é a entidade credenciada no Banco Central apta a prestar serviços de processamento de dados para fins de acesso à RSFN às instituições financeiras e demais instituições supervisionadas. 
Na prática, são os provedores técnicos que viabilizam a comunicação eletrônica de dados (Art. 2º, I) entre os sistemas das instituições e a RSFN (Art. 2º, II), cumprindo padrões e requisitos definidos na Resolução (por exemplo, segurança da informação e cibernética, continuidade de negócios, auditorias, seguros, governança – ver Art. 3º e Cap. III). 

Se quiser, eu transformo esses três blocos em uma seção “Sobre a Resolução” para a sua landing page, já com microcopy de apoio e CTAs. 

Quais empresas precisam se adequar? 

Empresas de TI que atuam como PSTI — Toda empresa de tecnologia que presta serviços de processamento de dados para fins de acesso à RSFN (ou seja, atua como PSTI) deve se credenciar no Bacen e cumprir integralmente os requisitos da Resolução BCB 498/2025 (governança, segurança da informação/cibernética, auditoria, certificações, plano de continuidade e seguro de responsabilidade civil e riscos operacionais, incluindo incidentes cibernéticos). Não importa o porte: se exerce o papel de PSTI, precisa atender (Art. 1º, Art. 2º, Art. 3º). 

Instituições financeiras e demais supervisionadas — Bancos, fintechs e demais instituições sob supervisão do Bacen só podem contratar PSTIs credenciados para acessar a RSFN e têm deveres adicionais: monitorar a adequação do PSTI, manter a posse das chaves privadas e observar controles de segurança previstos na norma (Art. 35). 

Importante (vedações e exceção intragrupo) — Operadoras/gestoras da RSFN, instituições supervisionadas (salvo atuação exclusiva intragrupo, com segregação operacional) e partes relacionadas não podem se credenciar como PSTI (Art. 6º). 

Palavra-chave trabalhada: empresas obrigadas a contratar seguro Bacen (no contexto da Resolução, aplica-se às empresas de TI na condição de PSTI, que devem comprovar seguro de responsabilidade civil e riscos operacionais com cobertura mínima a ser definida pelo Bacen – Art. 3º, XIII). 

Requisitos Obrigatórios 

A seguir, os requisitos centrais para credenciamento de PSTI segundo a Resolução BCB nº 498/2025 (Art. 3º e Cap. III). Use esta lista como checklist de conformidade. 

• Patrimônio líquido mínimo – R$ 15 milhões 
  Comprovação por demonstrações financeiras auditadas; o Bacen pode exigir valor maior conforme risco/volume (Art. 3º, VIII). 

• Seguro obrigatório (ponto central para a adequação) 
  Seguro de responsabilidade civil e de riscos operacionais, incluindo fraudes e incidentes cibernéticos, com cobertura mínima a ser definida pelo Bacen (Art. 3º, XIII). 

Observação: a Resolução exige o seguro e indica que o piso de cobertura será definido pelo próprio Bacen em ato/instrução complementar. 

Estrutura de governança e diretores designados 

Diretores para segurança da informação e cibernética, riscos/compliance e gestão de crises operacionais (Art. 3º, V e VI; Cap. III, Seção I). 

Segregação de funções, comitê de gestão de crises e políticas formais de governança (Art. 11 e 12). 

Capacidade técnico-operacional e adesão à RSFN 

Adesão às regras da RSFN (Termo de Adesão e Responsabilidade – ICP-Brasil) (Art. 3º, I e §1º). 

Capacidade para prestar serviço de processamento de dados conforme padrões técnicos do Bacen (Deinf) (Art. 3º, IV). 

Certificações e segurança da informação 

Certificação de segurança da informação em norma reconhecida internacionalmente ou asseguração independente aceita pelo Bacen (Art. 3º, XI). 

Política robusta de segurança da informação e cibernética: criptografia, prevenção/detecção de intrusão, logs e trilhas de auditoria, MFA, segregação de ambientes (incluindo Pix e STR), gestão de certificados, testes de intrusão, monitoramento etc. (Art. 16 e 17). 

Plano de Continuidade de Negócios (PCN) 

Testes periódicos, site secundário capaz de suportar o maior volume (últimos 252 dias úteis + margem), replicação de dados e procedimentos de emergência (Art. 18 e 19). 

Auditoria 

• Auditoria externa independente anual em segurança da informação (e, quando aplicável, em PLD/FT), com envio de relatórios ao Bacen e às instituições contratantes (Art. 3º, XII). 
• Auditoria interna com plano anual baseado em risco (Art. 28 e 29). 

Prestação de informações ao Bacen 

Envio de demonstrações financeiras auditadas, incidentes relevantes imediatamente, alterações societárias/administrativas, relatórios de auditoria e demais informações solicitadas (Art. 30). 

Idoneidade de controladores e administradores 

 Requisitos de reputação ilibada, qualificação/experiência, regularidade cadastral e ausência de restrições graves (Art. 5º). 

Comprovação anual de manutenção dos requisitos 
O PSTI deve comprovar anualmente que continua atendendo aos itens exigidos (Art. 3º, §2º). 

Vedações ao credenciamento (quem não pode) 

 Operadoras/gestoras da RSFN, instituições supervisionadas (salvo exclusivamente intragrupo, com segregação), partes relacionadas, entre outros (Art. 6º). 

Seguro de Risco Cibernético  

O Seguro de Risco Cibernético é a proteção contratual que cobre perdas financeiras e responsabilidades causadas por incidentes de segurança da informação e ataques cibernéticos — por exemplo: ransomware, vazamentos de dados, fraudes digitais e indisponibilidade de sistemas. Se você busca entender o que é o seguro de risco cibernético, pense nele como o respaldo financeiro e operacional para quando a tecnologia falha ou é atacada. 

Variações semânticas para SEO: seguro cibernético para PSTI, seguro cyber Bacen, seguro obrigatório Resolução 498. 

Coberturas mais comuns (variáveis conforme a apólice) 

• Resposta a incidentes: forense digital, contenção, restauração de sistemas e dados. 
• Ransomware/extorsão: custos de investigação e resposta, conforme condições da apólice. 
• Vazamento de dados: notificações legais, monitoramento de afetados, defesa e acordos. 
• Interrupção de negócios (lucros cessantes): perda de receita por paralisação após ataque. 
• Responsabilidade civil: reclamações de terceiros por falhas de segurança/privacidade. 
• Gestão de crise e danos reputacionais: comunicação, PR e orientação regulatória. 

Seguro de Responsabilidade Civil Operações 

O Seguro de Responsabilidade Civil de Operações protege financeiramente a empresa quando terceiros (clientes, fornecedores, visitantes, contratados ou público em geral) sofrem danos corporais, materiais ou morais decorrentes de um incidente ocorrido nas suas instalações ou originado na operação da empresa. Cobre defesa jurídica, indenizações e acordos, dentro dos limites da apólice. 

Seguro de Responsabilidade Civil Profissional 

O Seguro de Responsabilidade Civil Profissional (RC Profissional / E&O) protege a empresa ou o profissional contra reclamações de terceiros decorrentes de erro, omissão, negligência ou falha na prestação de serviços. A apólice ampara defesa jurídica, custas e honorários, além de indenizações e acordos por prejuízos financeiros causados ao cliente (dentro dos limites contratados). É diferente do RC de Operações: aqui o foco é a falha técnica/profissional no serviço prestado. 

Se o seu negócio assessora, projeta, integra, audita ou recomenda e isso pode gerar prejuízo financeiro a um cliente, o RC Profissional ajuda a proteger o caixa e a continuidade do negócio quando há reclamações por falhas no serviço. 

As coberturas dos seguros anteriores são práticas comuns no mercado de seguros e podem ser utilizadas pelas empresas para atender à exigência da Resolução. 

O que a Resolução BCB 498 exige?

A Resolução BCB nº 498/2025 determina que o PSTI contrate seguro de responsabilidade civil e de riscos operacionais, incluindo incidentes de fraude e segurança cibernética (Art. 3º, XIII). A cobertura mínima será definida pelo Banco Central em ato complementar (a Resolução não fixa um LMG específico). 

O que acontece se a empresa não se adequar?

Se o PSTI não cumprir a Resolução BCB 498, o Banco Central pode aplicar medidas cautelares antes mesmo do descredenciamento. Na prática, isso significa impor limites operacionais mais restritivos (como volume e valor de transações ou número de instituições atendidas), exigir reforço imediato de requisitos técnicos de segurança, governança e continuidade, determinar auditoria independente extraordinária e plano de ação corretivo com prazos definidos. Em cenários de maior gravidade, pode haver suspensão parcial ou total da conexão à RSFN ou de serviços específicos até a solução definitiva do problema (Arts. 31–32). 

Em caso de descumprimento grave ou recorrente dos requisitos (governança, segurança da informação, reporte de incidentes, manutenção de capital, seguro e certificações), falhas operacionais que comprometam a integridade e disponibilidade da RSFN, fraude/dolo, ou perda de idoneidade de controladores/administradores, o Bacen pode promover o descredenciamento do PSTI. O descredenciamento é precedido de plano de saída ordenada, mas implica, na prática, a impossibilidade de continuar prestando serviços de processamento de dados para acesso à RSFN (Arts. 7º, 9º e 10). 

Além das sanções regulatórias, há impactos diretos de negócio. As instituições financeiras e demais supervisionadas só podem contratar PSTIs credenciados; portanto, a empresa irregular enfrenta risco de perda de contratos, interrupção de receitas e barreiras comerciais para novos negócios (Art. 35). Some a isso o risco reputacional: medidas cautelares, incidentes e descredenciamento fragilizam a confiança de clientes, parceiros e investidores, afetando vendas, valuation e posicionamento competitivo. Em resumo, não se adequar à Resolução BCB 498 expõe o PSTI a suspensão na RSFN, restrições operacionais, perda de contratos e, no limite, ao descredenciamento pelo Bacen — um cenário de alto impacto operacional e financeiro. 

Solicite uma cotação personalizada 

Proteja sua empresa antes que seja tarde. Solicitar uma cotação personalizada para o Seguro Cibernético da NV Seguros Digitais é fácil e rápido. Preencha o formulário de diagnóstico maturidade - descubra o que é o diagnóstico de maturidade - e um de nossos consultores especializados entrará em contato para entender suas necessidades específicas e oferecer a solução ideal para o seu negócio. Não arrisque a segurança da sua empresa esteja preparado! 

Agende um diagnóstico! 

A Resolução BCB 498 já está em vigor desde o início de setembro de 2025 e prevê adequação em até 4 meses a partir da sua entrada em vigor para credenciamento e comprovação de requisitos. Deixar para depois aumenta o risco de medidas cautelares, restrições operacionais e até descredenciamento, além de comprometer contratos com instituições supervisionadas. Não se trata apenas de segurança, mas de manter sua empresa no mercado financeiro. 

Importante: o prazo de 4 meses se aplica apenas aos PSTIs já em operação na data de publicação da Resolução. Empresas que buscarem credenciamento após a vigência devem comprovar todos os requisitos desde o início.