A publicação da Resolução BCB 520/2025 marca o início da regulamentação formal da prestação de serviços de ativos virtuais no Sistema Financeiro Nacional, ao submeter as prestadoras de serviços de ativos virtuais (PSAVs) a um conjunto de exigências alinhadas aos padrões aplicáveis às instituições financeiras tradicionais. A norma estabelece parâmetros de governança, segregação patrimonial, controles internos e responsabilização, adaptando-os às características técnicas do ambiente digital descentralizado.
O avanço regulatório ocorre após um longo período em que o mercado de ativos virtuais operou sob um regime de experimentação. Esse ciclo foi marcado pela promessa de autonomia dos usuários, redução da intermediação financeira e novas formas de organização econômica, mas também revelou fragilidades operacionais, falhas de governança e riscos relevantes à integridade patrimonial dos investidores.
Diferentemente do sistema financeiro tradicional, a titularidade de ativos virtuais registrados em blockchain não decorre de registros centralizados, mas do controle exclusivo de uma chave privada. Esse mecanismo, baseado em criptografia assimétrica, confere ao detentor a capacidade de movimentar os valores registrados em redes distribuídas. A perda ou o comprometimento dessa credencial pode resultar na perda definitiva dos ativos, sem possibilidade de reversão.
Nesse contexto, a Resolução BCB 520/2025 não replica de forma automática o instituto clássico da custódia financeira. O texto normativo adapta esse conceito às especificidades técnicas dos criptoativos, reconhecendo que os ativos não estão fisicamente armazenados em carteiras digitais, mas permanecem distribuídos na blockchain, sendo o acesso condicionado ao domínio das chaves privadas.
A norma define a atividade de custódia de ativos virtuais como o conjunto de atribuições que envolve a guarda das chaves privadas, o controle do exercício dos direitos e benefícios relacionados aos ativos, a conciliação de posições, o atendimento às instruções de movimentação e o tratamento de eventos incidentes. Essas funções reproduzem, em essência, as responsabilidades tradicionais dos custodiantes, porém ajustadas à lógica descentralizada.
Ao atribuir às PSAVs a responsabilidade pela segurança das chaves privadas sob sua guarda, a regulamentação estabelece um regime de responsabilidade compatível com o risco sistêmico envolvido. No ambiente blockchain, falhas em pontos específicos da cadeia de acesso podem comprometer simultaneamente o patrimônio de milhares de usuários, o que justifica a imposição de padrões rigorosos de segurança e mitigação de riscos.
A Resolução também disciplina a terceirização da custódia, exigindo que as PSAVs realizem diligência prévia quanto à capacidade técnica, operacional e de governança das entidades contratadas. Essa exigência ganha relevância diante das diferentes formas de custódia existentes no mercado, como a autocustódia, a custódia por terceiros e os modelos híbridos.
Na autocustódia, o investidor mantém posse direta das chaves privadas, assumindo integralmente o risco de perda ou comprometimento. Já na custódia por terceiros, a responsabilidade pela guarda das chaves é transferida a um prestador de serviço, o que reduz a complexidade operacional para o usuário, mas expõe o sistema a riscos associados a falhas operacionais, governança deficiente ou insolvência da entidade custodiante.
Os modelos de custódia híbrida, por sua vez, combinam características de ambos os regimes. Nessa estrutura, o usuário mantém controle exclusivo das chaves privadas, enquanto o prestador detém acessos limitados, previamente definidos em smart contracts, permitindo a recuperação dos ativos em situações específicas, como a perda total das credenciais pelo titular.
A regulamentação restringe a prestação de serviços com ativos virtuais e a interação com carteiras de clientes às PSAVs autorizadas e a outras entidades supervisionadas pelo Banco Central. A autocustódia, por não envolver intermediação, não é objeto direto da norma.
Ao longo do texto regulatório, a questão das carteiras digitais recebe tratamento específico. Ao exigir que o custodiante assegure a disponibilidade dos ativos e a exclusividade no exercício dos direitos, a norma incorpora à esfera jurídica as limitações técnicas das soluções digitais. Carteiras conectadas à internet, conhecidas como hot wallets, passam a demandar padrões mínimos de segurança, uma vez que sua vulnerabilidade a acessos indevidos pode caracterizar descumprimento regulatório.
As cold wallets, que mantêm as chaves privadas fora de ambientes conectados, não estão sujeitas a todos os mesmos riscos tecnológicos, mas permanecem abrangidas pelas exigências relacionadas a compliance e à prevenção à lavagem de dinheiro e ao financiamento do terrorismo. A utilização predominante de carteiras frias também impõe desafios adicionais às PSAVs no que se refere à identificação de beneficiários finais e à rastreabilidade das operações.
O novo marco regulatório, entretanto, traz efeitos colaterais potenciais. A elevação dos custos de conformidade pode favorecer a concentração do mercado, com maior dificuldade de adaptação por parte de operadores menores, que historicamente contribuíram para a inovação no ecossistema de blockchain e ativos digitais.
O desafio regulatório passa a ser o equilíbrio entre segurança e inovação. A Resolução BCB 520/2025 não elimina os princípios que orientam as finanças descentralizadas, mas busca estabelecer padrões fiduciários mínimos para mitigar riscos que a tecnologia, por si só, não consegue neutralizar. A capacidade de ajuste dinâmico das regras será determinante para evitar tanto a sub-regulação quanto o excesso normativo que possa limitar o desenvolvimento do setor no Brasil.