Banco Central, Sandbox Regulatório e o Futuro da Inovação Financeira no Brasil

A nova infraestrutura regulatória do sistema financeiro brasileiro

O Banco Central do Brasil promove, desde o segundo semestre de 2025, uma onda de alterações normativas que redefine os requisitos de segurança cibernética para provedores de serviços de tecnologia da informação que atuam junto ao sistema financeiro. A Resolução BCB 498, publicada em setembro de 2025, estabelece requisitos para o credenciamento desses provedores, incluindo a obrigatoriedade de seguro de responsabilidade civil e riscos operacionais, controles avançados de criptografia e a exigência de um diretor estatutário com experiência comprovada na área de segurança da informação. As alterações foram ajustadas em janeiro de 2026 para refinar procedimentos, e entrou em vigor plenamente em março de 2026.

Essa seqüência de normas integra um movimento mais amplo de endurecimento do marco regulatório para tecnologia financeira no Brasil. Segundo especialistas do setor, as mudanças alinham o país a padrões internacionais de supervisão tecnológica, ao mesmo tempo em que criam barreiras de entrada mais elevadas para fornecedores de serviços críticos. O argumento central é que, em um ambiente onde ataques cibernéticos a instituições financeiras podem gerar riscos sistêmicos, a regulação preventiva é mais eficiente do que a reação a incidentes. Críticos, por outro lado, sustentam que o custo de conformidade pode excluir pequenos provedores e concentrar o mercado em players incumbentes com capacidade de arcar com exigências regulatórias elevadas.

Segurança cibernética como política de Estado

As resoluções 494 a 498 do Banco Central, publicadas em seqüência, representam a mais profunda reformulação dos critérios de credenciamento para provedores de tecnologia do sistema financeiro nacional em mais de uma década. As normas estabelecem controles que incluem segregação de ambientes críticos, políticas rígidas de acesso, criptografia forte para dados em repouso e em trânsito, e monitoramento contínuo de incidentes. A intenção regulatória é clara: qualquer provedor que preste serviços a bancos, fintechs ou instituições de pagamento deve atender a padrões mínimos de segurança que antes eram exigidos apenas das próprias instituições financeiras.

Para empresas menores, especialmente startups de tecnologia que buscam atuar no ecossistema financeiro, a conformidade com essas exigências representa um desafio significativo. O custo de implementação de controles de segurança compatíveis com a resolução pode ser proibitivo para empresas em fase inicial. Por outro lado, defensores da regulação argumentam que a concentração de serviços críticos em poucos provedores mal regulados representa um risco sistêmico maior do que a barreira de entrada criada pela conformidade. A questão central, ainda sem resposta definitiva, é se o mercado brasileiro de tecnologia financeira conseguirá desenvolver players domésticos competitivos sob um regime regulatório cada vez mais exigente.

Governança, capital e sustentabilidade das fintechs

A intensificação regulatória ocorre em paralelo ao debate sobre o marco legal das fintechs. Tramita na Câmara dos Deputados o PLP 137/25, que estabelece princípios e diretrizes para inovação, inclusão financeira, proteção do consumidor e estímulo à concorrência no setor. O projeto também inclui medidas tributárias para plataformas digitais de serviços financeiros. Especialistas apontam que o PLP busca estruturar o setor sob uma ótica de segurança jurídica e amadurecimento institucional, equilibrando incentivo à inovação com proteção sistêmica.

O volume de crédito concedido por fintechs no Brasil alcançou R$ 35,5 bilhões em 2024, alta de 68% em relação ao ano anterior, segundo dados da PwC Brasil. Esse crescimento expressivo, porém, ocorre em um contexto onde a sustentabilidade financeira das empresas não é garantida. O setor de fintechs, que inicialmente se distinguiu por modelos de crescimento acelerado e burn rate elevado, vem mudando gradualmente para estruturas de governança mais conservadoras. Profissionais do setor indicam que a combinação de governança profissional e sustentabilidade financeira é fundamental para que as fintechs consolidem credibilidade perante a sociedade e perante investidores de longo prazo.

ANPD, sandbox regulatório e inteligência artificial

Enquanto o Banco Central endurece exigências para provedores de tecnologia financeira, a Agência Nacional de Proteção de Dados (ANPD) avança com seu programa de sandbox regulatório focado em inteligência artificial. Em outubro de 2025, a agência concluiu a fase de recursos e homologou o resultado final do Edital 2/2025, que selecionou três participantes para o ambiente experimental: Metatext Inteligência Artificial, Synapse Artificial Intelligence e IA Greenworld. O próximo passo é a capacitação dos participantes nas áreas de regulação, IA e ambiente regulatório experimental.

O sandbox da ANPD representa uma abordagem distintas das resoluções do Banco Central: em vez de estabelecer exigências de conformidade, o programa cria um espaço controlado onde empresas podem testar soluções de IA sob supervisão direta da agência até dezembro de 2026. O foco está em transparência algorítmica e proteção de dados pessoais. A iniciativa busca equilibrar o estímulo à inovação com a proteção de direitos fundamentais, reconhecendo que a IA apresenta riscos específicos que não são adequadamente endereçados por marcos regulatórios tradicionais.

A fase de nivelamento do programa, que visa uniformizar o conhecimento dos participantes sobre inteligência artificial, proteção de dados e regulação, foi descrita pela ANPD como etapa essencial para garantir que os testes ocorram em condições adequadas de supervisão. Especialistas do setor apontam que a abordagem supervisionada pode gerar aprendizados regulatórios valiosos para futuros marcos normativos, mas também há preocupações sobre a seleção restrita de participantes e a ausência de resultados públicos sobre os testes realizados.

Inovação versus proteção: o dilema regulatório brasileiro

A tensão entre inovação e proteção sistêmica não é exclusiva do Brasil, mas o contexto brasileiro apresenta características particulares que amplificam esse dilema. O país possui um sistema financeiro relativamente concentrado, com quatro bancos grandes controlando a maior parte dos ativos, e ao mesmo tempo um ecossistema de fintechs em expansão que depende criticamente de provedores de tecnologia para operar. Qualquer falha de segurança em um provedor crítico pode afetar simultaneamente múltiplas instituições, criando risco sistêmico. Por outro lado, se a regulação for excessivamente restritiva, o país pode perder competitividade no mercado de serviços financeiros digitais, especialmente em contexto de crescente integração com plataformas globais.

Especialistas internacionais avaliam que o Brasil está seguindo uma trajetória similar à da União Europeia e do Reino Unido em termos de regulação tecnológica financeira, mas com adaptações ao contexto local. A diferença central é que mercados mais desenvolvidos possuem ecossistemas de provedores de segurança cibernética mais maduros, enquanto o Brasil ainda está desenvolvendo essa cadeia. O resultado é que as exigências regulatórias frequentemente ultrapassam a capacidade de oferta de serviços especializados, criando gargalos de mão de obra e aumento de custos de conformidade.

Contrapontos, limitações e cenários para o ecossistema regulatório

Uma análise honesta do momento regulatório brasileiro precisa reconhecer que os benefícios das novas normas ainda não foram plenamente demonstrados. As exigências de cibersegurança do Banco Central são desenhadas para prevenir incidentes, mas ainda não houve teste real de sua eficácia em larga escala. A ANPD, por sua vez, mantém o sandbox em fase inicial, sem resultados públicos consolidados que permitam avaliar se a abordagem supervisionada efetivamente equilibra inovação e proteção.

Perspectivas críticas apontam que o volumen de normas publicadas em curto período pode gerar fadiga regulatória, especialmente em empresas menores que não dispõem de equipes dedicadas a compliance. O risco é que a conformidade se torne formal, com empresas cumprindo requisitos de papel sem desenvolver capacidades reais de segurança. Esse fenômeno é documentado em outros mercados onde a intensificação regulatória ocorreu sem acompanhamento suficiente de capacidade de execução.

O cenário otimista sugere que o Brasil está construindo uma infraestrutura regulatória que, no médio prazo, atrairá investimento institucionalizado e elevará padrões de segurança a patamares compatíveis com mercados desenvolvidos. Nessa leitura, o custo de conformidade no curto prazo é investimento em credibilidade no longo prazo. O cenário alternativo é que a intensificação regulatória concentrate ainda mais o mercado, exclua players inovadores de menor porte e reduza a competitividade do ecossistema brasileiro frente a jurisdições com marcos mais flexíveis.

Este artigo foi elaborado com apoio de inteligência artificial generativa como ferramenta de assistência à redação. O conteúdo foi revisado e validado antes da publicação. As análises e opiniões expressas são de responsabilidade do autor e não constituem aconselhamento jurídico.