1. Introduzione: la pietra miliare di settembre 2025

La pubblicazione delle Risoluzioni BCB n. 494-498, il 5 settembre 2025, da parte della Banca Centrale del Brasile (BACEN) rappresenta un cambiamento strategico fondamentale nella regolamentazione del settore finanziario. Questa mossa è una risposta diretta alla crescente sofisticazione delle minacce informatiche, compresi i recenti incidenti che, secondo la stessa autorità di regolamentazione, hanno coinvolto la "criminalità organizzata". Il pacchetto normativo mira ad aumentare sostanzialmente la resilienza e la sicurezza dell'intero Sistema Finanziario Nazionale (SFN) e del Sistema dei Pagamenti Brasiliano (SPB), modernizzando il quadro normativo per affrontare un nuovo livello di rischio.  

La tesi centrale che permea queste nuove regole è l'imposizione di un principio di sovranità crittograficaBACEN ha identificato con precisione che la combinazione di elaborazione dati e gestione delle chiavi crittografiche, soprattutto quando delegata ad ambienti terzi come i fornitori di servizi informatici (ITSP), costituisce un rischio sistemico critico. Le nuove risoluzioni sono state concepite per eliminare chirurgicamente questa dipendenza, costringendo le istituzioni a riprendere il controllo assoluto sui loro asset crittografici più sensibili. La natura di questo intervento normativo indica che non si tratta di una mera prevenzione; si tratta piuttosto di una reazione diretta a specifiche violazioni della sicurezza ad alto impatto che si sono già materializzate. Menzionando esplicitamente la criminalità organizzata, BACEN segnala che sta andando oltre la gestione teorica del rischio per combattere minacce concrete e attive. Ciò aumenta drasticamente il rischio di non conformità: Non si tratta più di ignorare una regola, ma di ignorare un vettore di attacco che l'autorità di regolamentazione ha pubblicamente identificato come critico, trasformando la conformità in una questione di sopravvivenza operativa.

Sebbene l'intero pacchetto normativo sia di grande rilevanza, questa analisi si concentrerà sulla potente interazione tra tre risoluzioni chiave: la Risoluzione BCB n. 496, che disciplina il Pix; la Risoluzione BCB n. 497, che regola i Trasferimenti Elettronici (TED); e la Risoluzione BCB n. 498, che istituisce il nuovo regime per i PSTI. Dimostreremo come le prime due creino un incentivo operativo alla conformità, mentre la terza definisca il percorso tecnico e di governance per raggiungerla.

2. L'impatto operativo immediato: svelare i limiti transazionali delle risoluzioni 496 e 497

Le Risoluzioni BCB n. 496 e BCB n. 497 introdurre una limitazione operativa con effetto immediato e cogente: Un limite massimo di 15.000,00 R$ per transazione, sia per le transazioni Pix che per quelle TED. Questa misura non è una raccomandazione, ma una regola di elaborazione che ha un impatto diretto sul flusso di pagamento..
La restrizione si applica specificamente a due gruppi di istituzioni che BACEN ritiene a maggior rischio potenziale:

  1. Istituti di pagamento (PI) che non hanno ancora ricevuto la piena autorizzazione operativa dalla Banca Centrale.
  2. Qualsiasi istituzione, autorizzato o meno, che si connette alla Rete del Sistema Finanziario Nazionale (RSFN) tramite un Fornitore di Servizi di Tecnologia dell'Informazione (PSTI).

Le implicazioni commerciali di questa misura sono gravi. Per le fintech che servono clienti aziendali, piattaforme di pagamento B2B o qualsiasi servizio che elabori transazioni di valore elevato, questo limite paralizza di fatto il modello di business principale. Non si tratta di un inconveniente di poco conto, ma di un ostacolo critico che rende impraticabili le operazioni commerciali su larga scala. Sebbene sia possibile un'esenzione temporanea fino a 90 giorni, questa è subordinata alla prova dell'adozione di controlli di sicurezza avanzati, il che indica che si tratta di una misura tampone, non di una soluzione definitiva.  

Questo limite di 15.000,00 R$ è un notevole esempio di ingegneria normativa. Invece di fare affidamento su multe e sanzioni applicate a posteriori, che può essere accantonato nei budget come costo aziendale, BACEN ha creato un acceleratore operativo inverso, un meccanismo di applicazione proattivo e automatizzato integrato nell'infrastruttura dei pagamenti stessa. Questo sposta il costo della non conformità da una potenziale responsabilità futura a una perdita di fatturato immediata e giornaliera. Questo impone la conformità in cima all'agenda del senior management, trasformandola da una questione di costo IT a un fattore abilitante primario per l'azienda. L'autorità di regolamentazione ha di fatto strumentalizzato la capacità operativa come strumento per applicare standard di sicurezza più elevati..

3. Il pilastro della nuova struttura: la Risoluzione 498 e la professionalizzazione dei PSTI

Fino alla pubblicazione di queste normative, i PSTI operavano in una sorta di “zona grigia” normativa, senza la supervisione diretta della Banca Centrale. La Risoluzione BCB n. 498 pone fine definitivamente a questa era, istituendo un processo di accreditamento formale e obbligatorio per qualsiasi PSTI che desideri collegare i propri clienti all'RSFN.

Gli standard per diventare un "PSTI Accreditato" sono eccezionalmente elevati, elevando questi fornitori da semplici fornitori di tecnologia a entità soggette a un livello di controllo quasi finanziario. I requisiti chiave includono:

– Requisito di capitale sociale minimo di 15 milioni di R$ e l'acquisto obbligatorio di un'assicurazione sulla responsabilità civile e sui rischi operativi per coprire eventi informatici e frodi.

– Nomina degli amministratori statutari responsabile di aree critiche quali sicurezza informatica, rischi, conformità e gestione delle crisi, oltre alla creazione di un comitato formale per la gestione delle crisi.

– Verifiche obbligatorie Revisioni contabili esterne annuali condotte da società iscritte presso il CVM, attestanti la piena conformità ai requisiti della risoluzione. Tali relazioni devono essere presentate alla Banca Centrale del Brasile.

Tuttavia, il requisito tecnico più critico e trasformativo della Risoluzione 498 è contenuto nell'art. 18, § 1:

“Il PSTI non avrà accesso alle chiavi private utilizzate per firmare i messaggi nell’ambito degli accordi e dei sistemi di pagamento forniti dalla Banca Centrale del Brasile”.

Questa singola frase è il fondamento dell'intera nuova architettura di sicurezza. Lo standard richiede inoltre l'implementazione di solidi meccanismi di tracciabilità, inclusi audit trail completi per tutte le transazioni elaborate.

La Risoluzione 498, in pratica, rimodella l'intero mercato delle infrastrutture tecnologiche finanziarie in Brasile. Crea una netta biforcazione nel panorama degli ITSP: da un lato, i fornitori di base non accreditati, adatti a servizi non critici; dall'altro, i fornitori accreditati BACEN, autorizzati a operare nel cuore della SFN e della SPB. Ciò introduce una nuova dimensione competitiva, basato sulla fiducia e sulla sicurezza, non solo sul prezzo e sulla disponibilità.

Un PSTI che non riesce a ottenere questa credenziale viene automaticamente escluso dalla parte più preziosa del mercato: l'elaborazione di transazioni Pix e TED di alto valore. Questo costringe i provider a prendere una decisione strategica: investire massicciamente in sicurezza e governance per soddisfare il nuovo standard o rassegnarsi a un mercato di valore inferiore. Per coloro che si adattano, emerge una nuova e potente proposta di valore: "Compliance-as-a-Service".

4. La condizione essenziale per la rimozione dei limiti: la separazione obbligatoria tra elaborazione e crittografia

Il percorso per rimuovere il limite di 15.000,00 R$ è ora semplice e inequivocabile. Un istituto deve soddisfare due condizioni cumulative:

  1. Utilizzare un PSTI che abbia completato con successo il processo di accreditamento definito nella Risoluzione 498.
  2. E dimostrare, attraverso una “relazione di ragionevole garanzia” rilasciata da una società di revisione indipendente, che soddisfa specifici controlli tecnici di sicurezza.

I controlli tecnici che devono essere verificati e verificati sono decisivi e rivelano l'intenzione dell'ente regolatore:

- l'istituzione non condivide le tue chiavi private con il PSTI.

- l'istituzione convalida l'integrità delle transazioni prima che la firma crittografica essere applicato.

- L'istituzione utilizza certificati crittografici distinti per ambienti diversi (ad esempio produzione e omologazione) e per scopi diversi (ad esempio firma dei messaggi e autenticazione del canale).

Questi requisiti rendono impossibile dal punto di vista architettonico raggiungere la conformità se le chiavi crittografiche sono gestite tramite software, su server controllati o accessibili dal PSTI. La difficoltà sta nel dimostrare un aspetto negativo, ovvero che le chiavi non erano condiviso o accessibile, in un ambiente software in cui l'accesso, per definizione, è fluido e difficile da verificare con assoluta certezza. L'unico modo tecnicamente applicabile e verificabile per soddisfare questo mandato è creare un confine fisico, a prova di manomissione e a prova di manomissione per tutte le operazioni crittografiche. Questa è precisamente la funzione di un Modulo di protezione hardware (HSM).

In questo modo, BACEN ha di fatto prescritto uno standard architetturale – l'esternalizzazione delle funzioni crittografiche a un ambiente hardware affidabile e isolato – senza mai utilizzare l'acronimo "HSM". Si tratta di una regolamentazione sofisticata e basata su principi. L'ente regolatore ha definito risultato Obiettivi desiderati: nessuna condivisione delle chiavi, controlli di integrità pre-firma e prove verificabili. L'implementazione tecnologica specifica è stata lasciata aperta, ma i requisiti creati convergono logicamente verso un'unica classe di soluzioni.

Qualsiasi CISO o revisore incaricato di approvare il "rapporto di ragionevole garanzia" si troverà di fronte a una semplice domanda: "Come potete dimostrare, con assoluta certezza, che gli amministratori PSTI o un processo compromesso sui vostri server non siano riusciti ad accedere al materiale chiave?". In un repository di chiavi basato su software, tale prova è impossibile. In un HSM certificato, la prova è insita nella progettazione hardware e nelle sue certificazioni, come ICP-Brasil, MCT-7 e Criteri comuni EAL4+ e FIPS 140-2. Il regolamento crea quindi un requisito implicito per l'uso di HSM.

Un primo piano del KNET-HSM di Kryptus, un hardware di sicurezza nero per montaggio su rack. Il dispositivo presenta il logo Kryptus sul pannello frontale e superiore. È la soluzione ideale per aiutare gli istituti finanziari a raggiungere la conformità alle nuove risoluzioni 496, 497 e 498 della Banca Centrale sulla sicurezza informatica.

Kryptus kNET HSM

5. kNET HSM: la piattaforma di conformità per la nuova realtà normativa

Il Kryptus kNET HSM è più di un prodotto di sicurezza; è una piattaforma di conformità completa progettata per rispondere direttamente ai requisiti del nuovo quadro normativo BACEN. Offre gli strumenti necessari sia agli istituti finanziari che agli istituti di credito per navigare in questo nuovo scenario in modo sicuro ed efficiente..

Garantire sovranità e controllo con la certificazione Common Criteria EAL 4+

Il mandato fondamentale di non condividere le chiavi è il principio fondante di un HSM. Con kNET, tutte le operazioni di generazione, archiviazione e utilizzo delle chiavi avvengono esclusivamente all'interno del suo perimetro hardware a prova di manomissione e a prova di manomissione. La certificazione Common Criteria EAL 4+ (oltre a ICP-Brasil e FIPS) fornisce una convalida indipendente e riconosciuta a livello internazionale di questa sicurezza. Questa certificazione è un elemento di prova fondamentale per il rapporto di audit esterno richiesto da BACEN, in quanto attesta la resistenza alla manomissione fisica e l'autenticazione basata sull'identità per l'accesso ai servizi crittografici.

La soluzione per i PSTI: multi-tenancy con HSM virtuali

La capacità di kNET HSM di creare fino a 50 HSM virtuali (vHSM) I sistemi logicamente isolati rappresentano un elemento di differenziazione trasformativo per i PSTI. Un PSTI può implementare un singolo dispositivo kNET e offrire a ciascuno dei suoi clienti istituzionali una propria partizione dedicata e crittograficamente segregata. Ogni cliente mantiene il controllo esclusivo sulle chiavi e sulle policy del proprio vHSM, soddisfacendo direttamente il requisito di segregazione della Risoluzione 498. Ciò consente al PSTI di creare un'offerta di servizi scalabile, redditizia e, soprattutto, pienamente conforme.

Garantire l'integrità e la verificabilità

Il requisito di convalidare l'integrità delle transazioni prima della firma è gestito in modo nativo dall'architettura. L'applicazione aziendale invia i dati delle transazioni convalidate all'HSM kNET per eseguire l'operazione di firma. Il processo di firma stesso è un'operazione atomica all'interno dell'hardware sicuro, che garantisce che i dati firmati corrispondano esattamente a quelli convalidati. Inoltre, kNET fornisce log di audit per ogni operazione crittografica e amministrativa, il che è essenziale sia per la conformità di PSTI sia per fornire ai propri clienti le prove necessarie per i loro audit.

Prestazioni per non compromettere il business

Grazie alla capacità di elaborare fino a 10.000 firme RSA a 2048 bit al secondo, kNET garantisce che questo nuovo livello di sicurezza e conformità non diventi un collo di bottiglia nelle prestazioni per i sistemi di pagamento ad alto volume, consentendo agli istituti di conformarsi alle nuove normative senza sacrificare l'agilità aziendale.

Risoluzioni BACEN (settembre 2025) rispetto alle funzionalità HSM di kNET

risoluzioneRequisito di sicurezza centraleRischio di non conformitàSoluzione abilitata per kNET HSM
BCB nº 496/497 (per gli IP)L'istituzione deve dimostrare, attraverso un audit, che non condivide le chiavi private con il PSTI e convalida l'integrità della transazione prima della firma.Imporre un limite di R$ 15.000,00 per transazione Pix/TED, rendendo irrealizzabili le transazioni di alto valore e paralizzando i modelli di business.Le chiavi private risiedono e vengono utilizzate esclusivamente all'interno dell'hardware antimanomissione dell'HSM, con certificazioni come ICP-Brasile MCT7 NSH3Criteri comuni EAL4+ e FIPS 140-2 Livello 3La firma è il passaggio finale, che garantisce l'integrità dei dati elaborati..
BCB n. 498 (per PSTI)PST non deve avere accesso alle chiavi private dei suoi clienti e deve garantire la segregazione e mantenere piste di controllo robusto.Rifiuto dell'accreditamento da parte del BACEN, con conseguente impossibilità di servire i clienti della SFN/SPB. Rischio di sospensione precauzionale del collegamento con la RSFN.La funzionalità di HSM virtuali Consente la creazione di un massimo di 50 partizioni logiche sicure e isolate, una per ciascun client. Ogni vHSM ha il proprio set di chiavi e policy, con audit trail completi e indipendenti..

 

6. Guida pratica: passi verso l'adattamento strategico

L'adattamento a questo nuovo panorama normativo richiede un'azione immediata e strategica. Di seguito è riportata una roadmap pratica per i principali stakeholder.

Per gli istituti finanziari e di pagamento (IP):

  1. Revisione immediata del contratto con PSTI: Assicuratevi che il vostro attuale fornitore abbia un piano chiaro e una tempistica fattibile per ottenere l'accreditamento richiesto dalla Risoluzione 498. La conformità del vostro partner è un prerequisito per la vostra.
  2. Analisi dell'architettura chiave: Mappa dove e come vengono gestite le chiavi crittografiche per SPB (Pix, TED). Se risiedono nel software o in qualsiasi ambiente controllato o accessibile da PSTI, la tua architettura non è conforme.
  3. Pianificazione del progetto HSM: Avviare un progetto per acquisire e integrare un HSM. L'obiettivo è trasferire tutte le operazioni di firma dei messaggi dall'SPB al controllo esclusivo dell'HSM, stabilendo un chiaro confine crittografico.
  4. Incarico di revisione: Assumi una società di revisione indipendente registrata presso il CVM per convalidare la tua nuova architettura basata su HSM e produrre il "rapporto di garanzia ragionevole" necessario per rimuovere i limiti transazionali.

Per i fornitori di servizi IT (ITSP):

  1. Determina se la tua azienda perseguirà l'obiettivo Accreditamento BACENQuesta decisione richiede ingenti investimenti in termini di governance, capitale, assicurazioni e tecnologia. In caso di inadempienza, la società perderà rilevanza nel mercato dei servizi SFN.
  2. Il vecchio modello di "elaborazione con sicurezza integrata" è obsoleto. Il nuovo modello di servizio dovrebbe essere "elaborazione tramite un portale sicuro per l'HSM del cliente" o, più avanzato, "elaborazione tramite un'offerta vHSM gestita".
  3. Adotta una soluzione come kNET HSM per creare la tua offerta di servizi conforme alla Risoluzione 498. La possibilità di offrire vHSM dedicati e isolati sarà il tuo principale fattore di differenziazione competitiva e di abilitazione aziendale.
  4. Raccogliere la documentazione necessaria (prova di capitale, struttura di governance, polizze assicurative, descrizione dell'architettura di sicurezza) e avviare formalmente il processo di accreditamento presso la Banca centrale.

7. Conclusione: trasformare l'obbligo normativo in vantaggio competitivo

Il pacchetto di risoluzioni di settembre 2025 rappresenta la maturazione del mercato finanziario digitale brasiliano. BACEN sta alzando l'asticella in termini di sicurezza e resilienza per tutti i partecipanti, allineando il Brasile alle migliori pratiche globali in materia di sicurezza informatica e gestione del rischio tecnologico..

Nel nuovo ecosistema, la conformità alle Risoluzioni 496, 497 e 498 è la licenza per operare e competere su larga scala. Le istituzioni che si adattano rapidamente adottando un'architettura di sovranità crittografica non solo eviteranno severe restrizioni operative, ma si posizioneranno anche come partner più sicuri e affidabili per i propri clienti, costruendo un vantaggio competitivo duraturo.

L'implementazione di una soluzione solida come kNET HSM non dovrebbe essere considerata un mero costo di conformità, ma un investimento strategico fondamentale. È un investimento in fiducia, resilienza operativa e, in definitiva, nella capacità di prosperare nel contesto finanziario più sicuro e impegnativo che la Banca Centrale del Brasile ha appena creato.

VOCÊ PODE GOSTAR:
7 vantaggi di HSM come servizio per il mercato finanziario
7 vantaggi di HSM come servizio per il mercato finanziario

Immagine: RTM | Fonte: RTM Un dispositivo che crea un ambiente inaccessibile e a prova di manomissione Per saperne di più

La sicurezza informatica per gli istituti finanziari deve iniziare dall'interno, avverte Kryptus
articolo del blog 2024 11 19

Le misure includono una combinazione di soluzioni tradizionali ed emergenti basate sul principio del privilegio minimo Per saperne di più