Resolução BCB 498: seguro cibernético obrigatório, como se adequar

Os ataques cibernéticos no Brasil têm aumentado em frequência e sofisticação, afetando diretamente a cadeia de fornecedores de tecnologia que sustenta o sistema financeiro nacional. Em resposta a esse cenário, o Banco Central publicou a Resolução BCB nº 498/2025, que estabelece novas exigências para o credenciamento e operação dos Provedores de Serviços de Tecnologia da Informação (PSTIs).

Entre as medidas, destaca-se a obrigatoriedade da contratação de seguro cibernético, além de requisitos rigorosos em governança, compliance, gestão de riscos e segurança da informação. Neste artigo, explicamos o que muda com a norma, seus impactos e como soluções especializadas, como o ThreatX da ClearSale e Serasa Experian, podem apoiar empresas na jornada de adequação regulatória.

O que diz a Resolução BCB nº 498/2025

A Resolução BCB nº 498/2025 regula o credenciamento e a atuação dos Provedores de Serviços de Tecnologia da Informação (PSTIs) que prestam serviços às instituições financeiras e aos participantes do Sistema de Pagamentos Brasileiro (SPB). Seus principais pontos incluem:

• Seguro cibernético obrigatório, com cobertura mínima exigida para riscos operacionais e incidentes de segurança da informação;
• Diretores responsáveis por áreas críticas como segurança da informação, segurança cibernética, compliance e gestão de riscos;
• Auditoria externa anual, com envio de relatórios ao Banco Central;
• Plano de Continuidade de Negócios (PCN) testado periodicamente;
• Monitoramento contínuo, com trilhas de auditoria e rastreabilidade de eventos;
• Capital social mínimo de R$ 15 milhões, ajustável conforme o porte e risco da operação;
• Prazo de 4 meses para adequação dos PSTIs já em operação.

O descumprimento das exigências pode resultar em descredenciamento, suspensão de serviços críticos e outras penalidades que afetam diretamente a operação no Sistema Financeiro Nacional.

Impactos para instituições financeiras e provedores

A Resolução reforça e detalha exigências já previstas anteriormente, elevando o nível de rigor regulatório para instituições financeiras e seus fornecedores tecnológicos. Embora não represente uma mudança inédita, o destaque está na maior exigência quanto aos prazos de implantação e na necessidade de comprovação imediata de conformidade para novos entrantes, o que pode gerar impactos significativos na operação e na governança dessas empresas. Maior rigor na contratação de PSTIs: instituições financeiras precisarão avaliar com mais profundidade a maturidade em segurança e conformidade dos seus parceiros tecnológicos;

• Aumento dos custos de conformidade: com a obrigatoriedade de seguros cibernéticos, auditorias externas e estruturação de governança, os custos operacionais tendem a subir;
• Pressão competitiva: empresas que já possuem práticas consolidadas de segurança da informação e compliance terão vantagem competitiva no mercado;
• Responsabilidade compartilhada: a norma reforça que tanto contratantes quanto provedores são responsáveis pela segurança e continuidade dos serviços;
• Necessidade de governança contínua: não basta implementar controles pontuais, será necessário manter uma estrutura de gestão de riscos e segurança ativa e auditável.

A importância do seguro cibernético na Resolução BCB nº 498/2025

A obrigatoriedade da contratação de seguro cibernético, conforme estabelecido pela Resolução BCB nº 498/2025, representa um marco regulatório essencial para o fortalecimento da segurança digital no sistema financeiro brasileiro. Diante do aumento da frequência e sofisticação dos ataques cibernéticos, especialmente envolvendo fornecedores de tecnologia, o Banco Central busca mitigar riscos operacionais e proteger a integridade dos serviços prestados às instituições financeiras.

O seguro cibernético passa a ser um componente estratégico da gestão de riscos, cobrindo prejuízos decorrentes de incidentes como vazamento de dados, interrupções operacionais, ataques de ransomware e extorsões digitais. Além de ser uma exigência formal para o credenciamento de Provedores de Serviços de Tecnologia da Informação (PSTIs), ele também funciona como um mecanismo de pressão para que essas empresas alcancem um nível mínimo de maturidade em segurança da informação.

Essa medida reforça a responsabilidade compartilhada entre instituições financeiras e seus fornecedores, exigindo que ambos adotem práticas robustas de governança, compliance e continuidade de negócios. A contratação do seguro cibernético, portanto, não é apenas uma obrigação regulatória, mas uma ferramenta essencial para garantir a resiliência e a confiança no ecossistema financeiro nacional.

Desafios na adequação

Atender às exigências da Resolução BCB 498/2025 exige das empresas uma transformação profunda em suas práticas de segurança, governança e gestão de riscos. Os principais desafios incluem:

• Implementar políticas robustas de governança e compliance: é necessário definir responsabilidades claras, criar comitês e garantir alinhamento com as diretrizes do Banco Central;
• Contratar seguros cibernéticos abrangentes: o seguro deve cobrir riscos operacionais, fraudes e incidentes cibernéticos, com valores compatíveis com o porte da operação;
• Estruturar um Plano de Continuidade de Negócios (PCN) realista e testado regularmente, com foco em recuperação rápida e mitigação de impactos;
• Implantar monitoramento de ameaças e trilhas de auditoria: sistemas devem garantir rastreabilidade, alertas em tempo real e geração de relatórios auditáveis;
• Promover cultura de segurança da informação entre colaboradores, fornecedores e parceiros, com treinamentos contínuos e políticas claras de prevenção.

Boas práticas para se preparar

A adequação à Resolução BCB 498/2025 exige planejamento estratégico e ações coordenadas. Algumas boas práticas que podem acelerar esse processo incluem:

• Mapear e qualificar fornecedores tecnológicos: avalie o nível de maturidade em segurança, compliance e governança dos seus PSTIs;
• Implantar políticas de segurança e gestão de riscos: defina diretrizes claras, responsabilidades e processos de resposta a incidentes;
• Contratar seguro cibernético adequado: escolha apólices que cubram riscos operacionais, fraudes e ataques cibernéticos, conforme exigido pelo Banco Central;
• Treinar equipes em resposta a incidentes e cultura de segurança: capacite colaboradores e parceiros para lidar com ameaças e manter boas práticas de proteção da informação.

Essas ações não apenas ajudam na conformidade, mas também fortalecem a resiliência da empresa frente aos riscos digitais.

Como o ThreatX apoia a conformidade

O ThreatX, solução desenvolvida pela ClearSale e Serasa Experian, combina inteligência contra fraudes digitais com tecnologias avançadas de monitoramento e resposta a incidentes, oferecendo suporte estratégico para empresas que precisam se adequar à Resolução BCB 498/2025.

Principais serviços do ThreatX

• A solução também conta com Cyber Threat Intelligence (CTI), incluindo ferramentas de OSINT e OSINT AI, que realizam buscas qualificadas em fontes abertas para detectar fraudes, exposições de dados e ameaças emergentes — atendendo à exigência de monitoramento proativo 24/7.
• Monitoramento da marca em canais digitais, identificando tentativas de phishing, perfis falsos e uso indevido da identidade corporativa;
• Takedown rápido de páginas fraudulentas, reduzindo o tempo de exposição a ataques e protegendo clientes e reputação;
• Solução SaaS escalável, com integração simples e atualizações contínuas, ideal para empresas de diferentes portes e níveis de maturidade digital.

Com o ThreatX, sua empresa acelera a conformidade com a Resolução BCB nº 498, atendendo aos requisitos de segurança cibernética, governança e gestão de riscos exigidos pelo Banco Central. Reduza riscos operacionais, fortaleça sua estrutura digital e garanta uma atuação segura e competitiva no ecossistema financeiro. Clique aqui e descubra como o ThreatX pode apoiar sua jornada de conformidade.