Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 11/11/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025111100105
105
Nº 215, terça-feira, 11 de novembro de 2025
ISSN 1677-7042
Seção 1
Seção VII
Das medidas e procedimentos de segurança
Art. 48. As prestadoras de serviços de ativos virtuais devem instituir e manter
medidas e procedimentos visando a garantir a segurança, a resiliência e o adequado
funcionamento do ambiente computacional empregado para suportar a prestação de
serviços de ativos virtuais, abrangendo, no mínimo:
I - o gerenciamento de identidades e o controle de acessos lógicos e físicos,
com vistas a prevenir que indivíduos não autorizados acessem recursos e dados
sensíveis;
II - os mecanismos de monitoramento contínuo da segurança e de resposta a
incidentes, com o objetivo de detectar e responder a possíveis ameaças e incidentes;
III - a adoção de medidas preventivas para a mitigação de incidentes
cibernéticos que possam comprometer suas atividades, em particular nas operações
envolvendo operadores do segmento de finanças descentralizadas;
IV- procedimentos para a concessão de autorizações, criação de senhas e
controles de acesso baseados em alçadas, bem como mecanismos de desativação
preventiva em situações suspeitas;
V - o fomento da cultura de segurança entre os seus funcionários, prestadores
de serviços e demais partes relacionadas;
VI - o estabelecimento de planos de continuidade para lidar com cenários que
contemplem violações de segurança ou desastres que afetem a sua operação;
VII - o emprego das melhores práticas de segurança, inclusive em termos de
treinamentos, certificações técnicas para a instituição e seu corpo técnico e processos de
qualificações externas para reforçar essas práticas; e
VIII - a realização de testes em sistemas e programas computacionais utilizados
pela prestadora de serviços de ativos virtuais, inclusive contratos inteligentes que afetem
o desempenho de suas atividades, que compreendam:
a) análises de vulnerabilidades dos sistemas, dos programas utilizados e do
ambiente computacional da instituição;
b) revisão do desempenho dos sistemas e programas utilizados por analistas
independentes; e
c) testes de robustez e de segurança dos sistemas e programas utilizados.
Parágrafo único. As medidas e os procedimentos de segurança de que trata o
caput devem:
I - ser documentados e contemplados, no que couber, na política de segurança
cibernética da prestadora de serviços de ativos virtuais, prevista na regulamentação em
vigor; e
II - assegurar a confidencialidade, a integridade, a disponibilidade, a segurança
e o sigilo das informações e dos dados, bem como a proteção de dados pessoais dos
clientes, usuários e demais partes negociais da prestadora de serviços de ativos
virtuais.
Art. 49. As prestadoras de serviços de ativos virtuais devem implementar e
manter políticas de guarda e proteção dos instrumentos de controle dos ativos virtuais de
seus clientes e usuários que incluam, no mínimo:
I - os procedimentos documentados para a geração, a custódia e o
gerenciamento desses instrumentos de controle dos ativos virtuais, inclusive a
especificação dos métodos e técnicas usados para executar as transações;
II - a eventual distribuição dos ativos virtuais em diferentes carteiras de ativos
virtuais, nos termos do disposto nas regras específicas da prestação de serviços de
custódia de ativos virtuais de que trata esta Resolução;
III - os módulos de segurança utilizados para tais finalidades, conforme
aplicáveis;
IV - os procedimentos de concessão e desativação dos instrumentos de
controle dos ativos virtuais;
V - os procedimentos para a mitigação de comprometimentos na política de
guarda e proteção dos instrumentos de controle dos ativos virtuais; e
VI - as regras e condições para a concessão de acesso, incluindo alçadas que
considerem responsabilidades
e limites
compatíveis com
o grau
de acesso
aos
instrumentos de controle dos ativos virtuais.
§ 1º As regras de que trata o caput aplicam-se às chaves privadas dos ativos
virtuais mantidos pela prestadora de serviços de ativos virtuais em favor de seus clientes
e usuários.
§ 2º As prestadoras de serviços de ativos virtuais devem adotar protocolos
para o acesso, o armazenamento e a proteção dos instrumentos de controle de que trata
o caput, podendo considerar a utilização de criptografia e outras técnicas de segurança de
informação.
§ 3º Na hipótese de adoção de chaves privadas múltiplas ou segmentadas,
essas devem ser armazenadas em locais diferentes.
§ 4º A política de guarda e proteção dos instrumentos de controle dos ativos
virtuais de que trata o caput deve estar documentada e ser compatível, no que couber,
com a política de segurança cibernética da prestadora de serviços de ativos virtuais,
prevista na regulamentação em vigor.
Art.
50.
As
prestadoras
de serviços
de
ativos
virtuais
devem
adotar
mecanismos de monitoramento contínuo da segurança institucional e de avaliação de
riscos, com o objetivo de detectar, prevenir e responder a possíveis ameaças e
incidentes.
Art. 51. No caso da contratação de instituição ou empresa para prestar serviços
para as finalidades previstas nos arts. 48 e 49, permanece na prestadora de serviços de
ativos virtuais a responsabilidade por observar o cumprimento do disposto nesta Seção.
Seção VIII
Das informações sobre a prestadora de serviços de ativos virtuais
Art. 52. A prestadora de serviços de ativos virtuais deve manter à disposição
dos clientes e usuários informações da própria instituição e de características dos serviços
que realiza, indicando, de forma clara, a legislação e a regulamentação aplicáveis à sua
atividade.
§ 1º A prestadora de serviços de ativos virtuais deve divulgar de maneira
ampla, para o público em geral, em seu sítio eletrônico da rede mundial de computadores
e em aplicativos disponibilizados pela instituição:
I - as informações e os dados referentes à autorização ou ao pedido de
autorização em análise no Banco Central do Brasil para a prestação de serviços de ativos
virtuais;
II - as licenças regulatórias e sua condição no que se refere à conformidade
com regulamentações locais e internacionais aplicáveis;
III - as políticas organizacionais de que trata esta Resolução;
IV - os termos e as condições de prestação de serviços, eventualmente na
forma de contrato-padrão de prestação de serviços, destacando os direitos e as obrigações
do cliente ou usuário;
V - a relação de outras instituições ou entidades ocasionalmente envolvidas na
prestação dos serviços de ativos virtuais, com os respectivos dados de endereço, contato
e identificação dos responsáveis; e
VI - os eventuais conflitos de interesses existentes e as medidas adotadas para
sua mitigação.
§ 2º As informações de que trata o caput podem ser ajustadas conforme a sua
sensibilidade para fins de atendimento a cláusulas que imponham sigilo negocial às partes
envolvidas nos contratos firmados pela prestadora de serviços de ativos virtuais.
§ 3º Os termos e as condições de prestação de serviços referidos no inciso IV
do § 1º devem ser claros para os clientes e usuários da prestadora de serviços de ativos
virtuais, que devem manifestar ciência a respeito de seus direitos e obrigações, assim
como de eventuais condicionantes.
§ 4º As obrigações mencionadas no inciso IV do § 1º abrangem as medidas de
segurança que devem ser recomendadas aos clientes e usuários.
Art. 53. A prestadora de serviços de ativos virtuais deve prestar informações
claras aos seus clientes e usuários acerca da existência ou ausência de cobertura, de
fundos garantidores ou seguros para os serviços por ela realizados, observado o disposto
no art. 68, inclusive por entidades ou instituições por ela contratadas, destacando, no
mínimo:
I - o escopo de serviços cobertos;
II - a identificação da instituição ou entidade responsável pela cobertura;
III - as condições que implicam o acionamento da cobertura;
IV - os canais disponíveis e os procedimentos necessários para o acionamento
de cobertura; e
V - as exceções à cobertura da garantia pertinente.
Art. 54. As informações e os dados relacionados nos arts. 52 e 53 devem ser
apresentados ao cliente ou usuário no processo de cadastro, previamente à assinatura do
contrato de prestação de serviços.
Art. 55.
A prestadora
de serviços de
ativos virtuais
deve comunicar
tempestivamente 
aos
clientes 
quaisquer
mudanças 
envolvendo
as 
informações
relacionadas nos arts. 52 e 53.
Seção IX
Das informações sobre os direitos e as obrigações de clientes e usuários
Art. 56. A prestadora de serviços de ativos virtuais deve informar a seus
clientes e usuários a respeito dos direitos e das obrigações envolvidos na relação entre
clientes, usuários, prestadoras de serviços de ativos virtuais e outras instituições ou
entidades 
envolvidas, 
assim 
como 
da
existência 
de 
eventuais 
condicionantes,
considerando, no mínimo:
I - as medidas de segurança que devem ser observadas pelo cliente ou usuário
na realização de suas operações;
II - as políticas de depósito e de retirada de recursos financeiros, assim como
os limites, prazos e demais procedimentos associados;
III - a existência de mecanismos de cobertura para riscos específicos
envolvendo os ativos virtuais, a exemplo de seguros contra fraudes e riscos cibernéticos;
e
IV - as formas e os prazos para obtenção de relatórios, extratos de posições
custodiadas e de transações realizadas e outros documentos, de forma suficientemente
detalhada, considerando, por exemplo, dados como preços, volumes, datas e horários de
negociações.
Seção X
Dos procedimentos de armazenamento dos instrumentos de controle
Art. 57. A prestadora de serviços de ativos virtuais deve informar aos seus
clientes e usuários, com clareza e precisão, sobre o funcionamento dos processos de
guarda, custódia e armazenamento dos instrumentos de controle dos ativos virtuais de
propriedade desses clientes e usuários, independentemente de tais serviços serem
executados diretamente por ela ou por terceiros.
§ 1º No caso de prestação de serviços por entidades ou instituições
contratadas, as responsabilidades de cada integrante da cadeia de prestação de serviços
e os riscos associados aos procedimentos devem ser claramente explicados para os
clientes.
§ 2º Caso o cliente ou usuário opte pela autocustódia, a prestadora de serviços
de ativos virtuais deve esclarecer as medidas de segurança necessárias e os riscos
relacionados a essa modalidade de guarda dos instrumentos de controle de seus ativos
virtuais.
§ 3º A prestadora de serviços de ativos virtuais deve assegurar que a prestação
de informações de que trata o caput seja compatível, no que couber, com os mecanismos
para disseminação da cultura de segurança cibernética previstos em sua política de
segurança cibernética, na forma da regulamentação vigente.
§ 4º As regras de que trata o caput aplicam-se às chaves privadas dos ativos
virtuais mantidos pela prestadora de serviços de ativos virtuais em favor de seus clientes
e usuários.
Seção XI
Da avaliação de perfil de risco dos clientes
Art. 58. As prestadoras de serviços de ativos virtuais devem conhecer o perfil
do cliente ou usuário no que se refere ao seu nível de familiaridade com o mercado de
ativos virtuais, aos seus interesses financeiros e à sua tolerância ao risco no mercado de
ativos virtuais.
Art. 59. Na situação em que o cliente ou usuário deseje realizar operações
incompatíveis com o seu perfil no mercado de ativos virtuais, a prestadora de serviços de
ativos virtuais deve solicitar declaração específica ou termo de ciência de risco, em que o
cliente ou usuário assume a responsabilidade pelos riscos incorridos.
§ 1º Nas situações aplicáveis, as prestadoras de serviços de ativos virtuais
devem orientar seus clientes ou usuários a obterem aconselhamento financeiro
independente, observada a regulamentação específica aplicável.
§ 2º A avaliação de perfil de risco dos clientes ou usuários do mercado de
ativos virtuais, bem como a declaração ou o termo de ciência referidos nesta Seção,
devem ser documentados e ficar à disposição do Banco Central do Brasil,
preferencialmente no formato eletrônico.
Seção XII
Dos canais de comunicação
Art. 60. Os clientes e usuários devem ser informados sobre os canais de
comunicação e os recursos de suporte para o atendimento de demandas disponibilizados
pela prestadora de serviços de ativos virtuais, nos termos da regulamentação vigente.
§ 1º Os canais de comunicação e os recursos de suporte mencionados no
caput devem incluir a opção de atendimento humano.
§ 2º Os recursos de suporte referidos no caput devem abranger assistência e
orientações ao cliente ou usuário em caso de incidentes de segurança, violações ou
interrupções de serviço da prestadora de serviços de ativos virtuais e das instituições ou
entidades por ela contratadas.
Seção XIII
Da remuneração pela prestação de serviços
Art. 61. As prestadoras de serviços de ativos virtuais, para fins da prestação de
serviços vinculados aos ativos virtuais no mercado de ativos virtuais, podem cobrar
remuneração pela prestação de serviços a clientes e usuários, conceituada como tarifa,
exclusivamente sobre os serviços relativos às atividades integrantes das modalidades de
intermediação e de custódia de ativos virtuais definidos nesta Resolução.
Art. 62. A cobrança de tarifa pela prestadora de serviços de ativos virtuais
requer que sejam previamente explicitadas ao cliente ou ao usuário as condições de
prestação do serviço e de pagamento da respectiva tarifa, bem como o correspondente
fato gerador e o valor cobrado ou sua estimativa, com posterior disponibilização de
comprovante, extrato ou demonstrativo do pagamento final, mesmo no caso de cobrança
com respectivo lançamento do valor cobrado na eventual conta mantida na instituição.
Art. 63. As prestadoras de serviços de ativos virtuais devem observar, de forma
complementar, a regulamentação que dispõe sobre a cobrança de tarifas pela prestação
de serviços por parte das instituições financeiras e demais instituições autorizadas a
funcionar pelo Banco Central do Brasil.
CAPÍTULO X
DA PRESTAÇÃO DE SERVIÇOS ESPECÍFICOS DE ATIVOS VIRTUAIS
Seção I
Da modalidade de intermediária de ativos virtuais
Subseção I
Da elegibilidade dos ativos virtuais ofertados pelas intermediárias
Art. 64. A seleção de ativos virtuais ofertados pelas prestadoras de serviços de
ativos virtuais deve ser realizada com base em critérios claros, justificados, transparentes
e amplamente divulgados, em relação aos processos de oferta, listagem, suspensão e
deslistagem desses ativos.
§ 1º Para fins do disposto no caput, as prestadoras de serviços de ativos
virtuais devem estabelecer políticas específicas para a oferta, listagem, suspensão e
deslistagem dos seus ativos virtuais, baseadas em decisões a cargo de comitês técnicos
estabelecidos para essa finalidade.
§ 2º As políticas referidas no § 1º devem abranger, no mínimo, os seguintes
aspectos:
I - categorização dos ativos
virtuais ofertados, considerando as suas
características fundamentais em relação ao seu propósito como investimento ou
pagamento;
II - revisão crítica dos documentos disponíveis a respeito do ativo virtual
passível de ser ofertado, com ênfase nos seus riscos intrínsecos;

Fechar