Foto: Rafa Neddermeyer/Agência Brasil

A confiança nas engrenagens digitais do sistema financeiro depende de regras capazes de acompanhar a velocidade das transformações tecnológicas. À medida que novas soluções são incorporadas às operações críticas, cresce também a necessidade de mecanismos de supervisão mais robustos. Nesse contexto, o Banco Central colocou em consulta pública uma proposta que atualiza as normas aplicáveis à infraestrutura do mercado financeiro no país.

A iniciativa pretende revisar dispositivos relacionados ao funcionamento das Instituições Operadoras de Sistemas do Mercado Financeiro, especialmente nas áreas de tecnologia da informação, computação em nuvem e proteção cibernética. O objetivo é atualizar os parâmetros regulatórios que orientam a operação dessas estruturas.

Entre as mudanças apresentadas está a criação de uma obrigação formal para que cada instituição mantenha um Plano Diretor de Tecnologia da Informação, conhecido como PDTI. O documento deverá servir como guia para a implementação das estratégias institucionais na área tecnológica e passará a exigir atualização anual.

Além da revisão periódica, as organizações terão de estabelecer um processo estruturado de acompanhamento da execução do plano. Relatórios anuais deverão registrar o andamento das ações previstas e permanecer disponíveis ao Banco Central por um período de cinco anos.

Segundo o regulador, a adoção desse instrumento reflete o papel central da tecnologia no funcionamento das infraestruturas financeiras. A proposta também coloca o PDTI no mesmo nível do já existente Plano Diretor de Segurança da Informação, reforçando a importância de ambos para o funcionamento seguro dessas entidades.

O texto em consulta também introduz regras mais rigorosas para a contratação de serviços de computação em nuvem fornecidos a partir do exterior. As instituições terão de assegurar que os mecanismos de continuidade de negócios sejam submetidos a testes periódicos, de forma a garantir que as operações da contratante continuem funcionando mesmo diante de uma eventual interrupção do serviço internacional.

A norma atualmente em vigor não previa de forma explícita a realização desses testes. Além disso, o Banco Central poderá exigir que os provedores apresentem diretamente ao regulador informações e evidências sobre os serviços prestados, inclusive em português quando solicitado.

Outro ponto da proposta estabelece uma periodicidade mínima para avaliações das estruturas de segurança da informação e de proteção cibernética. O texto determina que essas análises ocorram pelo menos a cada dois anos.

O processo deverá incluir duas etapas obrigatórias. A primeira será conduzida pela auditoria interna da própria instituição. A segunda exigirá asseguração razoável realizada por auditores independentes externos. O mesmo modelo também será aplicado às avaliações relacionadas à gestão de continuidade de negócios.

De acordo com o Banco Central, a regra busca elevar a qualidade dos trabalhos contratados, já que a regulamentação atual não especificava o tipo de serviço de auditoria necessário, o que poderia permitir contratações consideradas inadequadas.

As mudanças fazem parte de um pacote mais amplo de ajustes na Resolução BCB nº 304, publicada em 2023. Essa norma regula o funcionamento dos sistemas de liquidação e das atividades de registro e depósito centralizado de ativos financeiros dentro do Sistema de Pagamentos Brasileiro.

O texto completo da proposta está disponível no Portal Participa + Brasil e também no site do Banco Central. O prazo para envio de contribuições é de 90 dias, e apenas as manifestações registradas por meio do formulário oficial disponibilizado pelo BCB serão consideradas.

Em um ambiente financeiro cada vez mais digital, a solidez das regras tecnológicas se torna tão essencial quanto a própria estabilidade das instituições.

Leia mais...