Instrução Normativa BCB N° 666

Conteúdo do Documento

INSTRUÇÃO NORMATIVA BCB Nº 666, DE 22 DE SETEMBRO DE 2025Disciplina a dispensa da observância do limite de emissão de Transferência Eletrônica Disponível – TED de valor igual ou superior a R$15.000,00 (quinze mil reais) por instituição que se conecta à Rede do Sistema Financeiro Nacional – RSFN por meio de Provedor de Serviços de Tecnologia da Informação – PSTI.O Chefe do Departamen...

<div class="ExternalClassD93F8E475F95472DAA5D6425ED995C21">

<style style="font-family:calibri;font-size:17.3333px;">
</style>

<div class="WordSection1">

INSTRUÇÃO NORMATIVA BCB Nº 666, DE 22 DE SETEMBRO DE 2025Disciplina
a dispensa da observância do limite de emissão de Transferência Eletrônica
Disponível – TED de valor igual ou superior a R$15.000,00 (quinze mil reais)
por instituição que se conecta à Rede do Sistema Financeiro Nacional – RSFN por
meio de Provedor de Serviços de Tecnologia da Informação – PSTI.O Chefe do Departamento de Tecnologia
da Informação – Deinf, o Chefe do Departamento de Gestão Estratégica e
Supervisão Especializada – Degef e o Chefe do Departamento de Operações
Bancárias e de Sistema de Pagamentos – Deban, no uso das suas atribuições,
tendo em vista o disposto no art. 23, inciso I, alínea “a”, no art. 70, inciso
I, alínea “a”, e no art. 112, inciso IV, alíneas “a” e “b”, todos do Regimento
Interno do Banco Central do Brasil, anexo à Resolução BCB nº 340, de 21 de
setembro de 2023, e o art. 3º-A, § 3º, inciso II, da Resolução BCB nº 256, de
1º de novembro de 2022,R E S O L V E M :Art. 1º 
Esta Instrução Normativa disciplina a dispensa temporária de que trata o
art. 3º-A, §§ 2º e 3º, da Resolução BCB nº 256, de 2022, incidente sobre o
limite de emissão de Transferência Eletrônica Disponível – TED de valor igual
ou superior a R$15.000,00 (quinze mil reais) por instituição que se conecta à
Rede do Sistema Financeiro Nacional – RSFN por meio de Provedor de Serviços de
Tecnologia da Informação – PSTI.

Art.
2º  Para a obtenção de dispensa, pelo prazo de noventa dias, do limite máximo
de que trata o art. 1º, a instituição deve protocolizar solicitação instruída
com documento formal que demonstre a constituição da garantia de que trata o
art. 3º e descreva as medidas adotadas para a implementação dos controles de
segurança da informação descritos nos arts. 4º e 5º, devendo ainda ser
acompanhado do relatório de asseguração razoável de que trata o art. 6º.

Parágrafo
único.  A dispensa temporária do que trata o caput só produzirá efeitos a
partir da comunicação formal ao participante da decisão conjunta do
Departamento de Operações Bancárias e de Sistema de Pagamentos (Deban), do
Departamento de Tecnologia da Informação (Deinf) e do Departamento de Gestão
Estratégica e Supervisão Especializada (Degef), após análise da documentação
apresentada pela instituição.

Art.
3º  A instituição solicitante, a título de garantia, deverá manter, no mínimo,
sobra de capital no montante de 100% (cem por cento) sobre o volume diário
máximo de TED realizadas em favor de clientes a partir de sua Conta Reservas
Bancárias ou de sua Conta de Liquidação, a depender do caso, no período
compreendido entre 1º de agosto de 2025 e 29 de agosto de 2025.

§
1º  A sobra de capital, cujo valor, para fins da garantia de que trata esta
Instrução Normativa, corresponderá, no mínimo ao montante previsto no caput, é
definida como: 

I
- para os conglomerados e instituições tipo 1 e tipo 3 pertencentes aos
segmentos S1 a S4, o menor excedente de capital em relação aos requerimentos de
mínimos de Capital Principal, Nível I e Patrimônio de Referência, apurados nos
termos da regulamentação vigente;

II
- para os conglomerados e instituições tipo 1 e tipo 3 pertencentes ao segmento
S5, o excedente de capital em relação ao requerimento de mínimo de Patrimônio
de Referência S5 (PRS5), apurado nos termos da regulamentação vigente; e

III
- para os conglomerados e instituições tipo 2, o excedente de capital em
relação ao requerimento de mínimo de Patrimônio de Referência IP (PRIP),
apurado nos termos da regulamentação vigente.

§
2º  A exigência a que se refere o caput será cumulativa com a garantia
apresentada com base na Instrução Normativa BCB nº 667, de 22 de setembro de
2025.

§
3º  O Banco Central do Brasil poderá requerer a apresentação de garantia
adicional caso o volume diário máximo de TED realizadas em favor de clientes a
partir da Conta Reservas Bancárias ou da Conta de Liquidação da instituição, a
depender do caso, apresente, durante o tempo em que perdurar a dispensa, valor
superior ao do montante de que trata o caput.

Art.
4º  Para o caso em que são utilizados serviços de processamento de dados
relativos à emissão de TED e de conectividade para acesso à RSFN providos por
PSTI, a instituição deve atestar que:

I
- não compartilha com o PSTI, ou armazena no ambiente desse provedor, as chaves
privadas, relativas aos certificados digitais cadastrados no Banco Central do
Brasil, que são utilizadas para a assinatura das mensagens;

II
- os certificados digitais, relativos às chaves privadas utilizadas para a
assinatura das mensagens que estivessem no ambiente do PSTI ou às quais o PSTI
tivesse acesso, foram revogados pela respectiva autoridade certificadora e
substituídos no Sistema de Transferência de Reservas – STR, operado pelo Banco
Central do Brasil, e no Sistema de Transferência de Fundos – SITRAF, operado
pela Núclea;

III
- utiliza certificados digitais distintos para ambientes diferentes;

IV
- implementa revisão periódica e tempestiva das permissões de acesso, em
especial, de colaboradores terceirizados com acesso ao ambiente computacional
da instituição e à operação de reserva;

V
- em relação à gestão de fraudes:

a)
valida a integridade das transações antes de sua assinatura, assegurando que as
informações não tenham sido fraudulentamente geradas, corrompidas ou
manipuladas durante o processo de geração da mensagem; e

b)
realiza monitoramento em dias úteis das 6h00 às 19h00 para identificação em
tempo real, com base em padrões históricos e comportamentais, de transações
atípicas ou fraudulentas, avaliando desvios em relação aos parâmetros esperados
no que se refere, inclusive:

1.
aos valores transacionados;

2.
ao volume de transações; e

3.
à quantidade de transações por unidade de tempo; e

VI
- possui mecanismos para a interrupção do processamento de transações em caso
de suspeita de grave comprometimento de seus sistemas ou dos sistemas do PSTI
contratado.

Art.
5º  Para os casos em que é utilizado apenas o serviço de conectividade provido
por PSTI para o acesso à RSFN, além das exigências previstas no art. 4º, a
instituição deve atestar que:

I
- implementa mecanismos de criptografia, de prevenção e detecção de intrusão,
de prevenção de vazamentos de informações e de proteção contra softwares
maliciosos;

II
- implementa mecanismos de rastreabilidade de transações que contemplem, no
mínimo:

a)
trilhas de auditoria do processamento fim-a-fim dos dados e das informações,
incluindo a definição e a geração de logs que possibilitem identificar falhas
de processamento ou comportamento atípicos, bem como subsidiar análises;

b)
definição de tempo de retenção de informações de acordo com o tipo de
processamento realizado; e

c)
retenção segura das trilhas de auditoria;

III
- implementa gestão de cópias de segurança dos dados e das informações;

IV
- realiza avaliação e a correção de vulnerabilidades que contemplem no mínimo:

a)
testes e análises periódicas para detecção de vulnerabilidades em sistemas de
informação;

b)
varreduras físicas periódicas do ambiente tecnológico que possibilitem
identificar dispositivos indevidamente conectados à rede corporativa que possam
estabelecer conexão com ativos de tecnologia externos; 

c)
análises periódicas do ambiente tecnológico com o objetivo de identificar
vulnerabilidades que possam comprometer a segurança dos ativos de tecnologia; e


d)
testes de intrusão periódicos.

V
- implementa política de controle de acesso que contemple, no mínimo:

a)
mecanismos para limitar o acesso à rede corporativa a usuários e dispositivos
autorizados;

b)
revisão periódica e tempestiva das permissões de acesso, em especial, de
colaboradores terceirizados com acesso ao ambiente computacional da
instituição; 

c)
estabelecimento de múltiplos fatores de autenticação para acesso à rede
corporativa a partir de ambientes externos; e.

d)
acesso administrativo com o uso de múltiplos fatores de autenticação, para os
ambientes internos de processamento da TED;

VI
- possui processo de avaliação e aplicação regular das correções de segurança;

VII
- implanta mecanismos de proteção da rede que contemplem, no mínimo:

a)
estabelecimento de regras de firewall, assim como o monitoramento de conexões,
evitando-se tentativas de conexão com sistemas críticos provenientes de ativos
de tecnologia localizados fora da rede corporativa da instituição;

b)
definição de critérios para o estabelecimento e o monitoramento de conexões com
ambientes externos, em especial em horário noturno ou não convencional; 

c)
mecanismos para identificar e prevenir conexões indevidas a ambientes externos
a partir do ambiente computacional da instituição; e

d)
implementação e manutenção de processos e ferramentas para identificação,
análise e tratamento de eventos atípicos no ambiente, a exemplo da abertura de
virtual private networks – VPN e de tentativas de acesso privilegiado,
especialmente em horário noturno ou não convencional, assim como análise da
implantação de controles mais robustos que mitiguem riscos de acessos indevidos
nessas ocasiões.

VIII
- segrega os ambientes computacionais, limitando o acesso ao ambiente de
produção e aos recursos computacionais críticos;

IX
- isola física e logicamente do ambiente de processamento das TEDs dos demais
sistemas, mantendo instância dedicada e apartada dos demais ambientes nos casos
de uso de nuvem pública;

X
- realiza a gestão de certificados digitais que contemple, no mínimo:

a)
o monitoramento do uso de certificados digitais e controles para a guarda
dessas informações; e

b)
a validação de certificados revogados junto às autoridades certificadoras;

XI
- implementa política de gestão de fraudes, com adoção das seguintes medidas:

a)
estabelecimento de canal para reporte de indícios de fraudes; e

b)
estabelecimento de sistema de identificação em tempo de transações atípicas ou
fraudulentas, avaliando desvios em relação aos parâmetros esperados.

Art.
6º  O preenchimento dos requisitos de que tratam os arts. 4º e 5º deverá ser
atestado por relatório de asseguração razoável elaborado por firma de auditoria
independente registrada na Comissão de Valores Mobiliários – CVM, o qual deverá
ser apresentado ao Banco Central do Brasil para a protocolização do pedido de
que trata o art. 2º. 

§
1º  A firma de auditoria independente contratada pela instituição deverá
possuir capacidade técnica, administrativa e operacional compatível com o
desempenho dos trabalhos de asseguração razoável previstos nesta Instrução
Normativa.

§
2º  O Banco Central do Brasil poderá indeferir o pedido de dispensa temporária
ou adotar a providência de que trata o art. 9º se detectar, a qualquer tempo,
que a firma de auditoria contratada não atende aos requisitos do § 1º e às
normas e aos procedimentos de auditoria determinados pela CVM e pelo Conselho
Federal de Contabilidade.

Art.
7º  O pedido de que trata o art. 2º deverá ser assinado por Diretor estatutário
responsável pela política de segurança cibernética, designado pela instituição
conforme regulamentação em vigor, que se comprometerá pela veracidade das
informações apresentadas ao Banco Central do Brasil, sujeitando-se às medidas
previstas na Lei nº 13.506, de 13 de novembro de 2017.

Art.
8º  A dispensa temporária de que trata o art. 1º poderá ser prorrogada por
sucessivos períodos de, no máximo, noventa dias, até que a instituição atenda
as exigências previstas no § 1º do art. 3º-A da Resolução BCB nº 256, de 1º de
novembro de 2022, e desde que não tenha apresentado deficiências ou falhas
operacionais graves durante os períodos de dispensa anteriores.

Art.
9º  A dispensa temporária de que trata o art. 1º poderá ser revogada, a
qualquer tempo, caso a instituição:

I
- apresente deficiências ou falhas operacionais graves;

II
- mantenha informações desatualizadas sobre seu capital; ou

III
- não observe o disposto nos art. 3º.

Art.
10.  Ao protocolizar as informações e os documentos requeridos nesta Instrução
Normativa, as instituições deverão selecionar, no Protocolo Digital do Banco
Central do Brasil, o assunto “Documentos para avaliação de dispensa dos limites
estabelecidos – TED – PSTI” para destinação ao Degef. 

Art.
11.  Esta Instrução Normativa entra em vigor na data de sua publicação.

CAIO MOREIRA
FERNANDES                             ARISTIDES ANDRADE CAVALCANTE NETO

Chefe do Deinf                                                    Chefe
do Degef

FABIO MARTINS TRAJANO
DE ARRUDA

Chefe do Deban

</div>

</div>

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Acesso Exclusivo para Assinantes

Cadastre-se ou faça login com sua conta do Radar Finsiders Brasil para visualizar esta regulação na íntegra, fazer download dos arquivos e ter acesso a relatórios exclusivos do mercado financeiro.

Entrar na Conta Conhecer Planos

Instrução Normativa BCB N° 666

Sumário Regulatório

Conteúdo do Documento

Acesso Exclusivo para Assinantes

Tags Relacionadas