Posted on

Resolução BCB nº 547/2026: o que muda para os Provedores de Tecnologia que acessam a RSFN

No dia 30 de janeiro de 2026, o Banco Central publicou a Resolução BCB nº 547, alterando a Resolução 498/2025 e elevando significativamente o nível de exigência para os Provedores de Serviços de Tecnologia da Informação (PSTI) que operam conectados à RSFN, a Rede do Sistema Financeiro Nacional.

Na prática, o regulador passou a tratar o PSTI como infraestrutura crítica do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro.

A seguir, explico o que realmente muda e por que isso é relevante.

1. Capital mínimo mais elevado e proporcional ao risco

A norma estabelece capital social realizado e patrimônio líquido mínimo de R$ 15 milhões.

Além disso, o Banco Central poderá exigir valores superiores conforme:

  • Volume de operações
  • Quantidade de clientes
  • Perfil de risco do PSTI

Isso introduz um critério prudencial baseado em risco. Quanto maior a exposição sistêmica, maior a exigência de robustez financeira.

2. Governança formal e estrutura obrigatória de risco e compliance

A resolução passa a exigir formalmente:

  • Estrutura de gestão de riscos
  • Controles internos
  • Função de conformidade
  • Relatório anual de riscos, controles internos e compliance
  • Aprovação pelo conselho
  • Envio obrigatório ao Banco Central até maio do ano seguinte
  • Guarda de documentos por no mínimo 5 anos

Ou seja, o PSTI deixa de ser apenas um fornecedor tecnológico e passa a operar com padrão de governança próximo ao de uma instituição regulada.

3. Regras rigorosas para controladores e administradores

A norma detalha conceitos como controlador, grupo de controle e último nível da cadeia de controle.

Os controladores e administradores devem:

  • Ter reputação ilibada
  • Não possuir condenações relevantes
  • Não estar inabilitados pelo Banco Central ou CVM
  • Comprovar capacitação técnica
  • Residir no Brasil, no caso de administradores
  • Ter mandato máximo de 4 anos, renovável

Fundos de investimento não podem ser controladores de PSTI.

Além disso, o Banco Central passa a ter poder explícito para arquivar pedidos, indeferir credenciamentos ou rever decisões com base em aspectos reputacionais ou inconsistências documentais.

4. Auditoria independente obrigatória e certificação de segurança

A resolução exige:

  • Certificação internacional de segurança da informação
  • Auditoria independente anual
  • Avaliação obrigatória de segurança da informação
  • Avaliação de PLD/FT, quando aplicável
  • Demonstrações financeiras auditadas
  • Possibilidade de relatório de asseguração razoável registrado na CVM

O nível técnico exigido sobe de forma significativa.

5. Monitoramento contínuo e poder ampliado do regulador

O Banco Central poderá:

  • Exigir aumento posterior de capital
  • Determinar ajustes estruturais
  • Aplicar medidas cautelares
  • Promover descredenciamento por descumprimento grave ou recorrente
  • Rever decisões anteriores diante de fatos relevantes

Há também previsão de descredenciamento caso haja falhas operacionais que afetem a integridade ou disponibilidade da RSFN.

6. Plano de saída ordenada

Caso o PSTI queira se descredenciar, deverá:

  • Comunicar com 30 dias de antecedência
  • Apresentar plano de saída ordenada
  • Priorizar a mitigação de impacto sobre instituições financeiras e sobre o funcionamento do SFN e do SPB

Isso reforça o caráter sistêmico da atividade.

7. Exceção para grupos econômicos

Empresas que prestam serviços exclusivamente para instituições do mesmo grupo econômico não se submetem integralmente à norma, desde que:

  • Mantenham segregação operacional
  • Cumpram requisitos técnicos e de segurança

O que essa resolução sinaliza ao mercado

A mensagem é clara: o Banco Central está tratando a infraestrutura tecnológica do sistema financeiro como parte essencial da estabilidade sistêmica.

Não se trata apenas de tecnologia. Trata-se de:

  • Segurança
  • Governança
  • Integridade operacional
  • Continuidade de negócios
  • Resiliência cibernética

O PSTI passa a ocupar posição estratégica dentro do arranjo regulatório do sistema financeiro.

Conclusão

A Resolução BCB nº 547/2026 representa um movimento de maturidade regulatória. Ela eleva o padrão de quem pode operar conectado à RSFN e reduz o risco de fragilidade tecnológica na cadeia do sistema financeiro.

Para empresas de tecnologia que desejam atuar nesse mercado, o recado é objetivo: robustez financeira, governança sólida, auditoria independente e segurança da informação deixam de ser diferenciais e passam a ser pré-requisitos.

O sistema financeiro brasileiro continua avançando. E a régua técnica está cada vez mais alta.

Posted on

Como escolher a melhor empresa para desenvolver um app em 2026 + lista com 5 opções

Escolher uma empresa para desenvolver um aplicativo em 2026 é uma decisão que parece simples, mas quase sempre define o sucesso ou o fracasso do projeto.

Não é só sobre “fazer um app bonito”. É sobre construir um produto estável, com boa experiência, pronto para crescer, com segurança e com capacidade de evoluir ao longo do tempo.

Neste artigo, eu vou te mostrar:

  • Os critérios que realmente importam na escolha de uma empresa de desenvolvimento

  • Os sinais de alerta mais comuns

  • E uma lista com 5 opções que você pode considerar em 2026

O que mudou no desenvolvimento de apps em 2026

Nos últimos anos, criar um aplicativo ficou mais acessível. Mas, ao mesmo tempo, ficou mais exigente.

Hoje, o padrão mínimo aumentou. Usuários esperam uma experiência rápida, fluida, segura e integrada com o restante da operação.

Algumas mudanças importantes:

1) IA virou parte do processo (e não só “modinha”)

Empresas maduras usam IA para acelerar etapas como:

  • discovery e levantamento de requisitos

  • organização de backlog

  • testes e controle de qualidade

  • apoio na análise de dados e melhorias do produto

2) App não vive sozinho: integração virou regra

Projetos relevantes em 2026 precisam conversar com:

  • ERP

  • CRM

  • gateways de pagamento

  • sistemas legados

  • plataformas de atendimento e logística

3) Segurança e governança são obrigatórias

Principalmente em apps com:

  • login e dados sensíveis

  • pagamento

  • dados de saúde

  • rotinas de operação

Como escolher uma empresa para desenvolver seu app em 2026

Aqui vai o ponto mais importante do post: antes de olhar nome, olhe critério.

1) Comece pela capacidade de entender seu negócio

Uma boa empresa não começa falando de tecnologia.

Ela começa fazendo perguntas.

Se a conversa é só “quantas telas tem?” e “quanto custa?”, cuidado.

O certo é entender:

  • qual objetivo do app

  • quem vai usar

  • qual o ganho esperado

  • quais integrações são necessárias

  • o que pode dar errado no caminho

2) Veja se existe um processo claro (e não improviso)

Desenvolvimento de app bem feito tem método.

O mínimo esperado é:

  • UX/UI antes do código

  • planejamento e arquitetura

  • sprints semanais ou quinzenais

  • rotina de testes

  • homologação organizada

  • publicação assistida nas lojas

Se a empresa não consegue explicar o processo em 2 minutos, ela não tem processo.

3) Fuja de projetos sem fase de pré-projeto

A maioria dos apps que estouram prazo e orçamento tem uma causa simples:

não foi feito um pré-projeto de verdade.

Pré-projeto não é “reunião”.

É uma fase de diagnóstico e planejamento que reduz risco.

O que entra no pré-projeto:

  • mapeamento de funcionalidades

  • jornada do usuário

  • requisitos técnicos

  • desenho de integrações

  • riscos e estimativas mais realistas

4) Confirme quem vai trabalhar no seu projeto

Pergunta direta que salva muito cliente:

“O time é próprio ou terceirizado?”

Não existe certo ou errado, mas você precisa saber o que está comprando.

Times próprios costumam oferecer:

  • mais consistência

  • mais controle de qualidade

  • mais continuidade na evolução

5) Pós go-live: o app vai precisar evoluir

Um app nunca termina no lançamento.

Então pergunte:

  • como funciona suporte

  • como são as evoluções mensais

  • como são correções

  • quem acompanha indicadores e melhorias

Se a empresa só fala sobre entrega e não fala sobre evolução, isso é um risco.

Lista: 5 empresas que você pode considerar em 2026

Aqui vai um ponto importante:

essa lista é uma referência inicial, mas a escolha certa depende do seu momento, do seu orçamento e do nível de criticidade do projeto.

1) Alphacode

A Alphacode é uma empresa brasileira com forte experiência em aplicativos para operações críticas e projetos de longo prazo.

O diferencial aqui costuma ser a combinação entre:

  • processo sólido

  • engenharia consistente

  • UX/UI bem estruturado

  • visão de evolução contínua

É uma boa opção para empresas que querem algo bem feito e com governança, especialmente em projetos mais robustos.

2) CI&T

Uma das referências do Brasil em transformação digital, com atuação forte em projetos corporativos.

É uma opção mais comum para:

  • empresas grandes

  • times internos que já estão maduros

  • integração com múltiplas áreas e sistemas

3) Stefanini

Grupo grande, com amplitude enorme de serviços e presença internacional.

Pode fazer sentido para empresas que procuram:

  • uma parceira grande

  • com muita escala

  • que una sistemas e desenvolvimento em um pacote mais amplo

4) FCamara

Empresa bastante conhecida no mercado de tecnologia, com atuação relevante em squads e projetos digitais.

É uma opção interessante para:

  • projetos com evolução recorrente

  • squads dedicados

  • empresas que buscam velocidade e consistência

5) BRQ Digital Solutions

Mais conhecida no mundo enterprise, com presença forte em setores como financeiro e grandes operações.

Pode ser uma alternativa interessante para projetos que exigem:

  • maior governança

  • robustez

  • nível alto de compliance

Conclusão: o critério certo economiza tempo e dinheiro

A maioria das pessoas escolhe empresa de desenvolvimento olhando preço e prazo.

Mas o que define o sucesso é:

  • clareza de escopo

  • método de trabalho

  • qualidade do time

  • maturidade de engenharia

  • evolução pós go-live

Se você quiser reduzir risco antes de começar, minha sugestão é simples:

faça um bom pré-projeto e escolha a empresa pela capacidade de entrega e sustentação.

Posted on

Segurança no Banking as a Service: o que você precisa considerar antes de lançar sua fintech

Quando falamos de segurança no BAAS, não estamos tratando apenas de firewall ou criptografia. Trata-se da confiança do seu cliente na operação — e da sobrevivência da sua fintech.

Nos últimos anos, o modelo de Banking as a Service (BAAS) tem viabilizado uma nova geração de empresas oferecendo serviços financeiros sob medida — sem precisar montar um banco tradicional. É um modelo poderoso, flexível e estratégico para varejistas, marketplaces, plataformas e fintechs.

seguranca no baas

Mas junto com a oportunidade, vem a responsabilidade. E tem um ponto que, infelizmente, ainda é negligenciado por muitos empreendedores que querem entrar nesse mercado: a segurança da informação.

Nesse artigo, eu quero abordar esse tema com profundidade — trazendo uma visão realista sobre os riscos, as boas práticas e, principalmente, o papel da rastreabilidade como elemento-chave em qualquer projeto sério de BAAS.

BAAS lida com dinheiro e dados críticos. Isso muda tudo.

Quando você cria um app de delivery, um e-commerce ou uma plataforma de serviços, os riscos estão principalmente na performance, na experiência do usuário e na operação.

Agora, quando você cria uma fintech — ainda que operando em modelo white-label com apoio de parceiros — você passa a lidar com:

  • Saldos de contas vinculadas ao CPF do cliente

  • Transações financeiras com valores reais

  • Dados de documentos, contratos e autorizações

  • Pix, boletos, CCBs e até limites de crédito

  • Processos de autenticação, senha e segurança

Não importa se a liquidação é feita por um banco parceiro ou se o app foi desenvolvido sob licença: a responsabilidade sobre a integridade dos dados e a segurança da operação é sua.

Quais são os riscos mais comuns em soluções BAAS?

Se eu tivesse que listar os erros mais recorrentes que vejo em projetos que tentam “cortar caminho”, eles seriam:

  • Falta de controle de acesso por perfil (qualquer pessoa acessa tudo)

  • Ausência de autenticação em APIs sensíveis

  • Dados de saldo armazenados em cache, sem consistência transacional

  • Falta de logs detalhados e rastreáveis

  • Backups inexistentes ou manuais

  • Deploys em servidores compartilhados, sem isolamento por instância

  • Requisições vulneráveis a manipulação direta (testes com Postman revelam falhas)

E o pior: boa parte desses problemas só aparece quando o negócio começa a escalar. Quando chegam mil usuários, o sistema quebra. E aí a confiança já foi embora.

Segurança no BAAS vai além da tecnologia: trata-se de responsabilidade

Muita gente pensa que segurança é só “proteger contra hackers”. Mas na prática, a maior parte dos problemas reais que uma fintech enfrenta são operacionais, e não ataques externos.

É por isso que eu sempre bato na tecla da rastreabilidade. Um sistema financeiro sem rastreabilidade é uma bomba-relógio.

Você precisa ser capaz de responder perguntas como:

  • Quem iniciou essa transação?

  • Que IP acessou essa conta?

  • Quem alterou o status desse pagamento?

  • Essa operação foi processada quando? Por quem?

  • Houve rollback? Por quê?

Isso não serve só para auditoria. Serve para que você possa confiar na sua própria operação. E para que os parceiros e reguladores confiem também.

O que é uma boa rastreabilidade em projetos BAAS?

  • Cada movimentação de saldo deve gerar um log completo com ID do usuário, horário exato e parâmetros da requisição

  • As trilhas de auditoria devem ser armazenadas fora do ambiente de produção (por exemplo, em serviços de log criptografado ou banco separado)

  • Operações críticas (alteração de dados, reversões, estornos) devem ter autenticação reforçada e logs assinados

  • Integrações com PSTIs, bancos liquidantes e parceiros de crédito devem ser documentadas e monitoradas

  • Logs devem ser imutáveis, criptografados e auditáveis

A rastreabilidade é a linha que separa uma fintech confiável de uma operação frágil.

Como tratamos isso na Alphacode

Na Alphacode, a gente não entrega apenas um “sistema com tela bonita”. A gente entrega a estrutura que sustenta operações financeiras robustas, escaláveis e com total responsabilidade técnica.

O nosso Mosaico Banking é um core bancário modular que já vem com:

  • Controles de acesso por perfil e por rota

  • Logs detalhados por tipo de transação

  • Backup automático com replicação segura

  • Ambiente separado por cliente, com isolamento real

  • Integração com PSTIs homologadas

  • Conectividade com sistemas como SPI, DICT, CIP e registradoras

Além disso, a gente entende que o projeto precisa atender não só à parte técnica, mas também aos padrões esperados por bancos parceiros, auditorias e reguladores.

Conclusão

Montar uma fintech ou oferecer serviços financeiros em sua empresa é uma oportunidade real de gerar receita recorrente, fidelização e inovação. Mas essa oportunidade exige maturidade técnica.

Não dá para brincar com dados de pagamento.

E se você está nesse caminho, eu recomendo fortemente começar sua estrutura com rastreabilidade, segurança e controle. Porque escalar com base em improviso pode custar muito caro depois.

Se quiser trocar ideias sobre seu projeto, entender melhor como o Mosaico pode ser implantado com segurança ou revisar a arquitetura da sua fintech, é só me chamar.

Vai ser um prazer ajudar.

Posted on

O que é uma PSTI no contexto do Banco Central?

No mundo das fintechs e dos serviços financeiros digitais, não basta apenas ter uma boa ideia ou um app funcional. Existe uma camada crítica por trás de toda operação regulada que precisa ser sólida, auditável e em conformidade com as normas do Banco Central. Essa camada é, muitas vezes, operada por uma PSTI — Prestadora de Serviços de Tecnologia da Informação.

Se você está envolvido com a criação de um banco digital, carteira, sistema de crédito ou qualquer outra operação que demande integração com Pix, contas ou liquidação de pagamentos, é essencial entender esse conceito.

Afinal, o que é uma PSTI?

PSTI é a sigla usada pelo Banco Central para classificar empresas que prestam serviços tecnológicos críticos a instituições financeiras ou de pagamento. Isso inclui, por exemplo:

  • Operação técnica do Pix e do SPI

  • Gerenciamento de chaves e comunicação com o DICT

  • Processamento de boletos via CIP

  • Assinatura digital de mensagens financeiras

  • Manutenção de redes, servidores e ambientes regulatórios

A PSTI atua como a “responsável técnica” por manter no ar os sistemas que conectam sua fintech com o restante do sistema financeiro nacional.

O Banco Central exige que toda instituição regulada que terceiriza a operação de seus sistemas essenciais registre essa relação formalmente, reconhecendo o papel da PSTI contratada.

Por que o Banco Central exige isso?

Porque o sistema financeiro não pode correr riscos operacionais sem controle.

Imagine o que aconteceria se uma fintech deixasse de funcionar por falha em servidores, perda de dados ou má gestão da segurança? O impacto não seria só interno, mas poderia afetar a confiança do consumidor no ecossistema como um todo.

Por isso, o Bacen define requisitos mínimos que uma empresa deve atender para ser considerada PSTI:

  • Infraestrutura redundante com alta disponibilidade

  • Política de segurança da informação formalizada

  • Proteção de chaves criptográficas (HSM)

  • Monitoramento contínuo dos serviços

  • Plano de continuidade e recuperação de desastres

  • Aderência técnica aos manuais do SPI, DICT, SPB, RSFN e CIP

Não se trata apenas de “ter um servidor rodando”. Trata-se de garantir estabilidade, segurança e rastreabilidade para movimentações financeiras.

Onde a Alphacode se posiciona nesse cenário?

Na Alphacode, desenvolvemos o Mosaico Banking, uma plataforma de Core Bancário que atende fintechs, bancos digitais e projetos financeiros de alta complexidade.

É importante esclarecer que a Alphacode não atua como PSTI diretamente, ou seja, não é a responsável pela infraestrutura de integração com o Banco Central.

O que fazemos é entregar o núcleo do sistema — o software que controla as contas, movimentações, CCBs, liquidações e integrações do seu banco digital — já pronto para se conectar a uma PSTI homologada.

Ou seja, o Mosaico Banking se integra de forma nativa às principais PSTIs autorizadas pelo Bacen, garantindo que a operação dos nossos clientes esteja em conformidade com os padrões técnicos e operacionais exigidos.

Esse modelo traz o melhor dos dois mundos: a agilidade e a personalização da Alphacode com a robustez e a segurança de parceiros especialistas em infraestrutura regulatória.

Conclusão

Se você está montando uma operação financeira séria, não tem como fugir da responsabilidade técnica — e entender o papel de uma PSTI é parte essencial dessa jornada.

Seja como contratante direto de uma PSTI ou usando uma solução como o Mosaico Banking integrada a parceiros homologados, o ponto é o mesmo: você precisa estar em conformidade com o que o Banco Central exige.

Na Alphacode, trabalhamos todos os dias para que nossos clientes possam crescer com tecnologia de ponta, usabilidade moderna e uma base sólida para operar com segurança.

Se quiser conversar mais sobre isso, tirar dúvidas sobre estrutura regulatória ou entender como montar sua fintech do zero com segurança e escalabilidade, me chama. Vai ser um prazer trocar ideias.