O Chefe do Departamento de Tecnologia da Informação - Deinf, o Chefe do Departamento de Gestão Estratégica e Supervisão Especializada - Degef e o Chefe do Departamento de Operações Bancárias e de Sistema de Pagamentos - Deban, no uso das suas atribuições, tendo em vista o disposto no art. 23, inciso I, alínea "a", no art. 70, inciso I, alínea "a", e no art. 112, inciso IV, alíneas "a" e "b", todos do Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB nº 340, de 21 de setembro de 2023, e o art. 3º-A, § 3º, inciso II, da Resolução BCB nº 256, de 1º de novembro de 2022,

Resolvem:

Art. 1º Esta Instrução Normativa disciplina a dispensa temporária de que trata o art. 3º-A, §§ 2º e 3º, da Resolução BCB nº 256, de 2022, incidente sobre o limite de emissão de Transferência Eletrônica Disponível - TED de valor igual ou superior a R$15.000,00 (quinze mil reais) por instituição que se conecta à Rede do Sistema Financeiro Nacional - RSFN por meio de Provedor de Serviços de Tecnologia da Informação - PSTI.

Art. 2º Para a obtenção de dispensa, pelo prazo de noventa dias, do limite máximo de que trata o art. 1º, a instituição deve protocolizar solicitação instruída com documento formal que demonstre a constituição da garantia de que trata o art. 3º e descreva as medidas adotadas para a implementação dos controles de segurança da informação descritos nos arts. 4º e 5º, devendo ainda ser acompanhado do relatório de asseguração razoável de que trata o art. 6º.

Parágrafo único. A dispensa temporária do que trata o caput só produzirá efeitos a partir da comunicação formal ao participante da decisão conjunta do Departamento de Operações Bancárias e de Sistema de Pagamentos (Deban), do Departamento de Tecnologia da Informação (Deinf) e do Departamento de Gestão Estratégica e Supervisão Especializada (Degef), após análise da documentação apresentada pela instituição.

Art. 3º A instituição solicitante, a título de garantia, deverá manter, no mínimo, sobra de capital no montante de 100% (cem por cento) sobre o volume diário máximo de TED realizadas em favor de clientes a partir de sua Conta Reservas Bancárias ou de sua Conta de Liquidação, a depender do caso, no período compreendido entre 1º de agosto de 2025 e 29 de agosto de 2025.

§ 1º A sobra de capital, cujo valor, para fins da garantia de que trata esta Instrução Normativa, corresponderá, no mínimo ao montante previsto no caput, é definida como:

I - para os conglomerados e instituições tipo 1 e tipo 3 pertencentes aos segmentos S1 a S4, o menor excedente de capital em relação aos requerimentos de mínimos de Capital Principal, Nível I e Patrimônio de Referência, apurados nos termos da regulamentação vigente;

II - para os conglomerados e instituições tipo 1 e tipo 3 pertencentes ao segmento S5, o excedente de capital em relação ao requerimento de mínimo de Patrimônio de Referência S5 (PRS5), apurado nos termos da regulamentação vigente; e

III - para os conglomerados e instituições tipo 2, o excedente de capital em relação ao requerimento de mínimo de Patrimônio de Referência IP (PRIP), apurado nos termos da regulamentação vigente.

§ 2º A exigência a que se refere o caput será cumulativa com a garantia apresentada com base na Instrução Normativa BCB nº 667, de 22 de setembro de 2025.

§ 3º O Banco Central do Brasil poderá requerer a apresentação de garantia adicional caso o volume diário máximo de TED realizadas em favor de clientes a partir da Conta Reservas Bancárias ou da Conta de Liquidação da instituição, a depender do caso, apresente, durante o tempo em que perdurar a dispensa, valor superior ao do montante de que trata o caput.

Art. 4º Para o caso em que são utilizados serviços de processamento de dados relativos à emissão de TED e de conectividade para acesso à RSFN providos por PSTI, a instituição deve atestar que:

I - não compartilha com o PSTI, ou armazena no ambiente desse provedor, as chaves privadas, relativas aos certificados digitais cadastrados no Banco Central do Brasil, que são utilizadas para a assinatura das mensagens;

II - os certificados digitais, relativos às chaves privadas utilizadas para a assinatura das mensagens que estivessem no ambiente do PSTI ou às quais o PSTI tivesse acesso, foram revogados pela respectiva autoridade certificadora e substituídos no Sistema de Transferência de Reservas - STR, operado pelo Banco Central do Brasil, e no Sistema de Transferência de Fundos - SITRAF, operado pela Núclea;

III - utiliza certificados digitais distintos para ambientes diferentes;

IV - implementa revisão periódica e tempestiva das permissões de acesso, em especial, de colaboradores terceirizados com acesso ao ambiente computacional da instituição e à operação de reserva;

V - em relação à gestão de fraudes:

a) valida a integridade das transações antes de sua assinatura, assegurando que as informações não tenham sido fraudulentamente geradas, corrompidas ou manipuladas durante o processo de geração da mensagem; e

b) realiza monitoramento em dias úteis das 6h00 às 19h00 para identificação em tempo real, com base em padrões históricos e comportamentais, de transações atípicas ou fraudulentas, avaliando desvios em relação aos parâmetros esperados no que se refere, inclusive:

1. aos valores transacionados;

2. ao volume de transações; e

3. à quantidade de transações por unidade de tempo; e

VI - possui mecanismos para a interrupção do processamento de transações em caso de suspeita de grave comprometimento de seus sistemas ou dos sistemas do PSTI contratado.

Art. 5º Para os casos em que é utilizado apenas o serviço de conectividade provido por PSTI para o acesso à RSFN, além das exigências previstas no art. 4º, a instituição deve atestar que:

I - implementa mecanismos de criptografia, de prevenção e detecção de intrusão, de prevenção de vazamentos de informações e de proteção contra softwares maliciosos;

II - implementa mecanismos de rastreabilidade de transações que contemplem, no mínimo:

a) trilhas de auditoria do processamento fim-a-fim dos dados e das informações, incluindo a definição e a geração de logs que possibilitem identificar falhas de processamento ou comportamento atípicos, bem como subsidiar análises;

b) definição de tempo de retenção de informações de acordo com o tipo de processamento realizado; e

c) retenção segura das trilhas de auditoria;

III -implementa gestão de cópias de segurança dos dados e das informações;

IV - realiza avaliação e a correção de vulnerabilidades que contemplem no mínimo:

a) testes e análises periódicas para detecção de vulnerabilidades em sistemas de informação;

b) varreduras físicas periódicas do ambiente tecnológico que possibilitem identificar dispositivos indevidamente conectados à rede corporativa que possam estabelecer conexão com ativos de tecnologia externos;

c) análises periódicas do ambiente tecnológico com o objetivo de identificar vulnerabilidades que possam comprometer a segurança dos ativos de tecnologia; e

d) testes de intrusão periódicos.

V - implementa política de controle de acesso que contemple, no mínimo:

a) mecanismos para limitar o acesso à rede corporativa a usuários e dispositivos autorizados;

b) revisão periódica e tempestiva das permissões de acesso, em especial, de colaboradores terceirizados com acesso ao ambiente computacional da instituição;

c) estabelecimento de múltiplos fatores de autenticação para acesso à rede corporativa a partir de ambientes externos; e.

d) acesso administrativo com o uso de múltiplos fatores de autenticação, para os ambientes internos de processamento da TED;

VI - possui processo de avaliação e aplicação regular das correções de segurança;

VII - implanta mecanismos de proteção da rede que contemplem, no mínimo:

a) estabelecimento de regras de firewall, assim como o monitoramento de conexões, evitando-se tentativas de conexão com sistemas críticos provenientes de ativos de tecnologia localizados fora da rede corporativa da instituição;

b) definição de critérios para o estabelecimento e o monitoramento de conexões com ambientes externos, em especial em horário noturno ou não convencional;

c) mecanismos para identificar e prevenir conexões indevidas a ambientes externos a partir do ambiente computacional da instituição; e

d) implementação e manutenção de processos e ferramentas para identificação, análise e tratamento de eventos atípicos no ambiente, a exemplo da abertura de virtual private networks - VPN e de tentativas de acesso privilegiado, especialmente em horário noturno ou não convencional, assim como análise da implantação de controles mais robustos que mitiguem riscos de acessos indevidos nessas ocasiões.

VIII - segrega os ambientes computacionais, limitando o acesso ao ambiente de produção e aos recursos computacionais críticos;

IX - isola física e logicamente do ambiente de processamento das TEDs dos demais sistemas, mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de nuvem pública;

X - realiza a gestão de certificados digitais que contemple, no mínimo:

a) o monitoramento do uso de certificados digitais e controles para a guarda dessas informações; e

b) a validação de certificados revogados junto às autoridades certificadoras;

XI - implementa política de gestão de fraudes, com adoção das seguintes medidas:

a) estabelecimento de canal para reporte de indícios de fraudes; e

b) estabelecimento de sistema de identificação em tempo de transações atípicas ou fraudulentas, avaliando desvios em relação aos parâmetros esperados.

Art. 6º O preenchimento dos requisitos de que tratam os arts. 4º e 5º deverá ser atestado por relatório de asseguração razoável elaborado por firma de auditoria independente registrada na Comissão de Valores Mobiliários - CVM, o qual deverá ser apresentado ao Banco Central do Brasil para a protocolização do pedido de que trata o art. 2º.

§ 1º A firma de auditoria independente contratada pela instituição deverá possuir capacidade técnica, administrativa e operacional compatível com o desempenho dos trabalhos de asseguração razoável previstos nesta Instrução Normativa.

§ 2º O Banco Central do Brasil poderá indeferir o pedido de dispensa temporária ou adotar a providência de que trata o art. 9º se detectar, a qualquer tempo, que a firma de auditoria contratada não atende aos requisitos do § 1º e às normas e aos procedimentos de auditoria determinados pela CVM e pelo Conselho Federal de Contabilidade.

Art. 7º O pedido de que trata o art. 2º deverá ser assinado por Diretor estatutário responsável pela política de segurança cibernética, designado pela instituição conforme regulamentação em vigor, que se comprometerá pela veracidade das informações apresentadas ao Banco Central do Brasil, sujeitando-se às medidas previstas na Lei no 13.506, de 13 de novembro de 2017.

Art. 8º A dispensa temporária de que trata o art. 1º poderá ser prorrogada por sucessivos períodos de, no máximo, noventa dias, até que a instituição atenda as exigências previstas no § 1º do art. 3º-A da Resolução BCB n° 256, de 1º de novembro de 2022, e desde que não tenha apresentado deficiências ou falhas operacionais graves durante os períodos de dispensa anteriores.

Art. 9º A dispensa temporária de que trata o art. 1º poderá ser revogada, a qualquer tempo, caso a instituição:

I - apresente deficiências ou falhas operacionais graves;

II - mantenha informações desatualizadas sobre seu capital; ou

III - não observe o disposto nos art. 3º.

Art. 10. Ao protocolizar as informações e os documentos requeridos nesta Instrução Normativa, as instituições deverão selecionar, no Protocolo Digital do Banco Central do Brasil, o assunto "Documentos para avaliação de dispensa dos limites estabelecidos - TED - PSTI" para destinação ao Degef.

Art. 11. Esta Instrução Normativa entra em vigor na data de sua publicação.

CAIO MOREIRA FERNANDES

Chefe do Deinf

ARISTIDES ANDRADE CAVALCANTE NETO

Chefe do Degef

FABIO MARTINS TRAJANO DE ARRUDA

Chefe do Deban