Por Manuel Matos (*)
Infraestrutura regulada: o Banco Central já chegou. A Susep está a caminho
A IN BCB nº 718/2026, a Portaria SUSEP nº 8.501/2026 e a construção silenciosa de um regime de supervisão para a camada tecnológica do mercado de seguros
Em 2 de abril de 2026, dois atos normativos foram publicados no Diário Oficial da União. Um deles ocupou espaço na imprensa especializada. O outro, quase nenhum. Lidos em conjunto, revelam uma convergência regulatória que merece atenção de quem acompanha a reorganização do setor de seguros na era dos dados.
O primeiro é a Instrução Normativa BCB nº 718, de 1º de abril de 2026, que operacionaliza o regime de credenciamento dos Provedores de Serviços de Tecnologia da Informação (PSTI) no Sistema Financeiro Nacional. O segundo é a Portaria SUSEP nº 8.501, de 24 de março de 2026, que altera a composição do Grupo de Trabalho do Open Insurance, trazendo para dentro do GT as áreas de regulação e supervisão de infraestruturas de mercado.
São atos de natureza distinta — um processual, outro organizacional — mas que apontam na mesma direção: quando a camada tecnológica se torna crítica para o funcionamento de um sistema financeiro ou securitário, ela deixa de ser serviço e passa a ser infraestrutura. E infraestrutura se regula.
I. O QUE O BANCO CENTRAL FEZ
A Resolução BCB nº 498, de 5 de setembro de 2025, disciplinou os requisitos, procedimentos e condições para o credenciamento dos PSTI — entidades que prestam serviços de processamento de dados para acesso à Rede do Sistema Financeiro Nacional. A Resolução BCB nº 547, de 30 de janeiro de 2026, aperfeiçoou o regime, tornando mais restritivos os requisitos de credenciamento. A IN BCB nº 718/2026 completa o ciclo: traduz a Resolução em procedimentos operacionais.
O regime é abrangente. Para obter credenciamento, um PSTI deve apresentar ao Banco Central vinte e oito itens documentais, entre os quais: plano de negócios com comprovação de capacidade técnico-operacional; demonstrações financeiras auditadas por auditoria independente registrada na CVM; certificação internacional de segurança da informação; contrato com auditoria independente para avaliações anuais; seguro de responsabilidade civil e de riscos operacionais com coberturas específicas para incidentes cibernéticos, fraudes digitais, perdas financeiras e responsabilidade de executivos; plano de saída ordenada; relatórios de testes de intrusão dos últimos doze meses; políticas de continuidade de negócios aprovadas pelo conselho de administração; e organograma completo da estrutura de governança.
O capital social mínimo é de R$ 15 milhões, podendo o BCB exigir montante superior de acordo com o volume de operações e o perfil de risco. Administradores são submetidos a avaliação de reputação ilibada e capacitação técnica. Controladores devem autorizar o regulador a acessar informações em qualquer sistema público ou privado de cadastro, inclusive processos judiciais. O Termo de Adesão e Responsabilidade deve ser firmado com certificado digital da ICP-Brasil. Transferências de controle societário devem ser comunicadas ao regulador em até quinze dias.
Em caso de descredenciamento, o PSTI deve comprovar a conclusão do plano de saída ordenada e o encerramento de todos os serviços. O BCB pode, a qualquer tempo, convocar reuniões, realizar visitas técnicas e exigir documentação complementar. É um regime de entrada controlada, supervisão contínua e saída ordenada.
O seguro obrigatório como indicador de seriedade regulatória
Um elemento da IN 718/2026 merece destaque pela sua singularidade: a exigência de contratação de seguro de responsabilidade civil e de riscos operacionais, com coberturas mínimas definidas pelo regulador. O Art. 3º especifica quatro categorias: resposta a incidentes cibernéticos e fraudes digitais; perdas financeiras por atos internos e externos; responsabilidade civil e operacional; e governança e responsabilidade de executivos. O PSTI deve apresentar não apenas a apólice, mas as premissas técnicas, a metodologia de dimensionamento de limites e a memória de cálculo que fundamentaram o valor contratado.
É uma exigência que, por si só, revela como o BCB avalia o risco tecnológico: sério o suficiente para exigir que o provedor transfira parte dele ao mercado segurador. E disciplinado o suficiente para exigir que a transferência seja fundamentada tecnicamente.
II. O CONTEXTO INTERNACIONAL: DORA
A iniciativa do BCB não opera no vazio. Desde janeiro de 2025, a União Europeia aplica o Digital Operational Resilience Act (DORA), que estabelece arcabouço regulatório para a resiliência operacional digital do setor financeiro. O DORA aplica-se a bancos, seguradoras, intermediários de seguros, gestoras de investimento e aos provedores de serviços de tecnologia da informação e comunicação que atendem essas entidades.
O regulamento europeu introduziu a figura dos Critical Third-Party Providers (CTPPs) — provedores designados pelas autoridades supervisoras europeias (EBA, EIOPA e ESMA) como críticos para o funcionamento do sistema financeiro. Esses provedores passam a ser supervisionados diretamente, com poderes de inspeção, requisição de informações e medidas cautelares. Em novembro de 2025, a lista inaugural de CTPPs foi publicada — incluindo a Microsoft como provedor crítico designado.
O modelo do BCB dialoga com o DORA, mas com uma diferença relevante: o BCB opera com credenciamento prévio, enquanto o DORA europeu designa provedores já em atividade. São abordagens distintas que convergem na mesma premissa: provedor tecnológico crítico é infraestrutura regulada.
Mas uma leitura atenta da produção normativa da SUSEP desde janeiro de 2025 revela que a autarquia está construindo, em camadas sucessivas, as condições institucionais para chegar lá. A sequência é mais coerente do que se percebe isolando os atos.
A linha do tempo
15 de janeiro de 2025 — Lei Complementar nº 213/2025. O marco fundacional. A LC 213 reconhece legalmente as registradoras e as SPOCs como operadoras de infraestruturas do mercado de seguros — é a primeira vez que a legislação setorial usa essa linguagem. Submete-as à regulação do CNSP e à supervisão da SUSEP. Inclui-as como contribuintes da Taxa de Fiscalização (Art. 51). Introduz o princípio da regulação proporcional ao porte, natureza, perfil de risco e relevância sistêmica das instituições (Art. 36-B) — conceito que é, por definição, aplicável a infraestruturas.
11 de março de 2025 — Portaria SUSEP nº 8.371/2025. Constitui o primeiro GT, dedicado à regulamentação da LC 213/2025. Três subeixos: cooperativas de seguros e mutualistas, licenciamento e regime sancionador. Sete coordenadores-gerais. A LC 213 inclui o reconhecimento das infraestruturas — o GT carrega essa agenda implicitamente.
8 de setembro de 2025 — Decreto nº 12.616/2025. O Presidente da República altera a Estrutura Regimental da SUSEP, atualizando a finalidade institucional da autarquia para incorporar as competências conferidas pela LC 213/2025. Entrada em vigor sessenta dias depois. É a base administrativa para a reestruturação.
25 de setembro de 2025 — Portaria SUSEP nº 8.442/2025. Constitui o segundo GT, dedicado especificamente à revisão do arcabouço normativo do Open Insurance. Agenda explícita: credenciamento de SPOCs, estrutura de governança, critérios de participação obrigatória, procedimentos de dispensa e certificação, monitoramento do sistema. Dois subgrupos: técnico-normativo e tecnológico/negócios.
30 de outubro de 2025 — Resolução CNSP nº 483/2025. O novo Regimento Interno da SUSEP. A Resolução 483 cria as unidades que compõem o sistema de supervisão de infraestruturas: a DISUC recebe competência explícita para supervisionar os operadores das infraestruturas de mercado (Art. 26, V), com cláusula aberta para “outras infraestruturas”. Subordinadas à DISUC: CGINF e COINS. No campo regulatório, a DIORE recebe a CGRIO (Regulação de Infraestrutura e Organização dos Mercados) e a COSIM (Supervisão de Infraestruturas de Mercado). Arquitetura bicéfala: regulação na DIORE, implementação/supervisão na DISUC.
29 de dezembro de 2025 — Decreto nº 12.801/2025. Nova alteração da Estrutura Regimental, remanejando cargos comissionados executivos e funções comissionadas executivas para a SUSEP. Transforma a arquitetura em capacidade operacional.
22 de dezembro de 2025 — Resolução SUSEP nº 72/2025. Institui o Plano de Regulação para 2026, com 23 temas classificados como prioridade 1, incluindo a continuidade da regulamentação da LC 213/2025.
12 de março de 2026 — Resolução CNSP nº 490/2026. O terceiro Regimento Interno em menos de dois anos. Atualiza a estrutura organizacional para acomodar os cargos providos pelo Decreto 12.801/2025.
Redistribui atribuições entre áreas finalísticas, cria o escritório de representação da SUSEP no Rio de Janeiro — cidade onde operam as registradoras e a governança do OPIN. Entrada em vigor: 1º de abril de 2026.
5 de março de 2026 — Tomada de Subsídios. Publicada na plataforma Brasil Participativo, no âmbito do GT constituído pela Portaria 8.442/2025. Cinco temas centrais de natureza estrutural, operacional e regulatória do OPIN. Prazo até 5 de abril de 2026.
2 de abril de 2026 — Portaria SUSEP nº 8.501/2026. Altera a composição do GT do Open Insurance. Traz para dentro do grupo a CGRIO e a COSIM. A co-coordenação passa a CGRIO e CGINF. O GT reúne agora: CGPEC, CGINF, COINS, CGFIC, CGCON (dois membros), CGRIO, COSIM e CONAI.
IV. O QUE A LINHA DO TEMPO REVELA
Dez atos normativos em quinze meses, convergindo na mesma direção. A leitura que se impõe não é de fragmentação — é de construção institucional em camadas.
A LC 213/2025 forneceu a base legal: registradoras e SPOCs são infraestruturas, sujeitas a supervisão proporcional. Os dois decretos presidenciais (12.616 e 12.801) reconfiguraram a estrutura administrativa e proveram os cargos. Os três regimentos internos (468, 483 e 490) traduziram a lei em competências organizacionais, criando CGRIO, COSIM e atribuindo à DISUC/CGINF a supervisão dos operadores de infraestrutura — com cláusula aberta para “outras infraestruturas”. Os dois GTs organizam os fluxos de trabalho regulatório: o primeiro (8.371) para a LC 213 como um todo, o segundo (8.442) para o Open Insurance especificamente. A Tomada de Subsídios abre o canal de contribuição externa. E a Portaria 8.501 conecta as duas agendas — a de infraestrutura e a de Open Insurance — no mesmo GT, sob co-coordenação da regulação de infraestrutura.
O que a SUSEP ainda não tem é o regime processual do BCB: vinte e oito itens documentais, capital mínimo de R$ 15 milhões, avaliação de reputação de administradores, seguro obrigatório de responsabilidade civil, plano de saída ordenada como condição de credenciamento. Mas está construindo as condições institucionais para produzir algo equivalente. A pergunta não é mais se a SUSEP vai regular a camada tecnológica do Open Insurance como infraestrutura — os atos normativos já dizem que vai. A pergunta é quando e com que profundidade.
V. O QUE ISSO SIGNIFICA PARA O MERCADO
A convergência entre os movimentos do BCB e da SUSEP indica que a regulação de provedores tecnológicos como infraestrutura não é episódica — é estrutural. O BCB saiu na frente porque enfrentou um problema concreto: ataques cibernéticos a instituições financeiras que operavam via PSTI aceleraram a edição da Resolução 498/2025. A SUSEP não enfrentou o mesmo catalisador, mas está percorrendo o mesmo caminho institucional.
Para as SPOCs e EPOCs, isso significa que o regime de credenciamento tende a se adensar. Para as registradoras, que a LC 213/2025 já enquadrou como infraestrutura, a regulamentação específica é questão de tempo. Para os participantes obrigatórios do Open Insurance, que os critérios de participação estão sob revisão pelo GT que agora inclui as áreas de infraestrutura. Para o mercado como um todo, que a camada tecnológica sobre a qual opera a distribuição de seguros está sendo progressivamente enquadrada como matéria de supervisão regulatória — não de livre arranjo entre participantes.
A Tomada de Subsídios encerra-se em 5 de abril de 2026. É a janela institucional aberta para contribuir com o desenho de um regime que, a julgar pela direção dos atos normativos, será construído com ou sem contribuição externa. A diferença é que, com contribuição qualificada, pode ser construído com mais precisão — e com menos custo de ajuste posterior.
(*) Manuel Matos é autor de Da Intermediação à Infraestrutura (Editora Roncarati, 2026). Quatro décadas dedicadas a organizar o mercado de seguros por tecnologia e articulação institucional.
Este texto é de autoria própria e não representa posições de entidades ou instituições.
Carta Reservada de Seguros — Análise estratégica de circulação restrita para assinantes.
www.manuelmatos.com.br
O acompanhamento diário e sistemático do mercado de seguros está disponível na Carta Reservada de Seguros, de circulação exclusiva para assinantes.
(03.04.2026)