O sistema de pagamentos brasileiro movimenta trilhões de reais por ano. O Pix, por si só, ultrapassou os instrumentos tradicionais e se tornou a espinha dorsal das transações no país. Por trás dessa infraestrutura, operando nos bastidores e muitas vezes invisíveis ao usuário final, estão os PSTIs: os Provedores de Serviços de Tecnologia da Informação que conectam bancos, fintechs e cooperativas à Rede do Sistema Financeiro Nacional.

Durante anos, esse papel crítico foi exercido com supervisão regulatória moderada. O segundo semestre de 2025 mudou isso. Uma série de incidentes cibernéticos com grande impacto financeiro, todos com pontos em comum, revelou uma verdade que o setor já conhecia em teoria: quem opera na infraestrutura crítica do sistema financeiro é, por definição, um alvo. E alvos precisam de defesa ativa, não apenas de boas práticas contratuais.

A Resolução BCB nº 498, publicada em 5 de setembro de 2025, foi a resposta regulatória a essa constatação.

O que a norma exige, de fato

A Resolução 498 é extensa. Cobre governança corporativa, capital mínimo, gestão de continuidade, políticas de controles internos, auditoria externa anual e uma série de requisitos técnicos de segurança essenciais. Para quem ainda não leu o texto completo, o Art. 17 é o coração da norma do ponto de vista de segurança cibernética.

É ali que o Banco Central detalha o que a política de segurança da informação e cibernética de um PSTI deve contemplar, no mínimo. São quatorze itens. O inciso XIV é o que mais distingue essa norma de tudo que o regulador havia publicado antes:

“ações de inteligência cibernética, incluindo o monitoramento de informações de interesse (clientes, chaves, credenciais, vulnerabilidades etc.) na Internet, Deep e Dark Web, além de grupos privados de comunicação.”

É a primeira vez que o Banco Central usa o termo “inteligência cibernética” de forma literal e positiva em uma resolução. E não por acaso: foi exatamente a ausência desse tipo de monitoramento que permitiu que as credenciais de empresas circulassem livremente em ambientes que ninguém estava observando, até que alguém as usasse de forma bem-sucedida.

A IN 664/2025, que complementou a Resolução 498 com prazos de implementação, colocou as ações de inteligência cibernética no grupo de requisitos prioritários, com prazo de adequação de apenas 15 dias para PSTIs já em operação. O BC não deixou dúvidas sobre a urgência que atribui ao tema.

O problema que a norma deixa em aberto

A Resolução 498 diz o que deve ser feito. Não diz como.

Isso é absolutamente normal: regulações definem requisitos, não metodologia. Mas cria um desafio real para os PSTIs, especialmente os de menor porte. Um inciso no Art. 17 que menciona “monitoramento de credenciais na Deep e Dark Web e grupos privados de comunicação” abre uma pergunta prática imediata: como uma empresa de tecnologia do sistema financeiro, que não é uma empresa de segurança, estrutura essa capacidade?

Existem três caminhos. O primeiro é contratar uma plataforma de threat intelligence de prateleira e acreditar que isso resolve. O segundo é tentar montar uma equipe interna capaz de operar com profundidade em superfície, deep e dark web, o que pode ser caro. O terceiro é contratar uma plataforma que conta com um serviço especializado e analistas dedicados ao seu contexto.

A experiência demonstra que a conformidade aparente não se traduz em proteção real. Uma plataforma de prateleira entrega dados. Os quais podem ser realmente úteis, mas não é o mesmo que ter gente lutando por você. Ou seja, analistas de verdade, interessados no contexto da sua operação.  

Inteligência são dados analisados por especialistas que entendem o que aquele dado significa para a sua organização, para o seu setor, naquele momento.

O que a Resonant entrega para PSTIs

A Resonant foi criada como um serviço de inteligência de ameaças orientado por analistas, não por dashboards. O modelo parte de uma premissa simples: o inciso XIV do Art. 17 da Resolução 498 não pode ser cumprido somente com uma assinatura de feed de dados. Ele exige monitoramento ativo, contextualizado e capaz de gerar ação.

Monitoramento de credenciais e dados de clientes em ambientes externos

O vetor dos ataques recentes tem sido o comprometimento de credenciais e a cooptação de colaboradores (insiders). A Resolução 498 exige explicitamente o monitoramento de credenciais na Internet, Deep e Dark Web. A Resonant mantém cobertura ativa nesses ambientes, com capacidade de identificar quando credenciais de um PSTI ou de suas instituições clientes aparecem em vazamentos, marketplaces clandestinos ou fóruns especializados, antes que sejam utilizadas.

Monitoramento de grupos privados de comunicação

A norma menciona explicitamente “grupos privados de comunicação”, o que inclui canais no Telegram, grupos no Discord e comunidades fechadas onde ataques são planejados, ferramentas são comercializadas e alvos são discutidos. Esse tipo de cobertura exige presença e metodologia específicas, além de uma capacidade de navegar pelo ecossistema do cibercrime dominando sua linguagem própria e suas nuances, algo que não se consegue automatizar.

Cobertura de chaves Pix e ativos do ecossistema de pagamentos

A Resolução 498 inclui “chaves” entre os itens de interesse a serem monitorados. Chaves Pix, certificados digitais, domínios e outros ativos críticos para a operação de um PSTI são elementos que podem ser explorados como vetores de ataque. A Resonant estrutura o monitoramento em torno do perfil de ativos específico de cada cliente.

Alertas acionáveis, não relatórios de conformidade

A diferença entre um serviço de inteligência e um produto de prateleira para fins de compliance é o que acontece depois da detecção. Um alerta genérico sobre um vazamento de credenciais não ajuda um PSTI a decidir o que fazer nos próximos trinta minutos. Um analista que conhece a sua infraestrutura, o seu perfil de risco e as ameaças ativas no seu setor pode ajudar a traduzir o achado em decisão.

Contexto setorial: sistema financeiro brasileiro

O ecossistema de ameaças que atinge PSTIs no Brasil tem características específicas. Grupos que operam contra o sistema financeiro nacional, técnicas prevalentes no contexto regional, padrões de campanha que se repetem no setor. Essa inteligência contextual não está disponível em feeds globais. Ela é construída por quem monitora o cenário de perto, no idioma certo, com as fontes certas.

O que acontece quando a conformidade é aparente

É tentador encarar o inciso XIV do Art. 17 da Resolução 498 como mais uma caixa a marcar no processo de credenciamento. Contratar uma plataforma descontextualizada que vai inundar sua equipe de ruído, gerar evidência de que há algum monitoramento em curso e seguir em frente.

O risco dessa abordagem não é apenas regulatório. É operacional.

O Banco Central deixou claro, no Art. 31 da Resolução 498, que pode adotar medidas cautelares em caso de incidentes de segurança, incluindo a suspensão total ou parcial da conexão à RSFN. Em um cenário de ataque bem-sucedido, não ter monitoramento ativo e contextualizado de ambientes externos não é só uma falha de compliance. É a ausência da capacidade que pode evitar um incidente.

E, no contexto, após os ataques veiculados na imprensa, ninguém no sistema financeiro brasileiro deveria precisar de mais um exemplo para entender o que isso significa.

A Resonant foi construída para que o próximo alvo não seja você.

Fale com o nosso time.