A Resolução BCB 520/2025 inaugura a regulamentação da prestação de serviços de ativos virtuais no Sistema Financeiro Nacional e passa a submeter as prestadoras de serviços de ativos virtuais (PSAVs) a padrões de governança, segregação patrimonial, controles internos e responsabilização compatíveis com os de instituições financeiras.
Ao contrário de sistemas centralizados, a titularidade registrada em redes blockchain decorre do controle da chave privada do ativo virtual. A perda ou o comprometimento dessa credencial pode resultar em perda irreversível dos ativos. Por isso, a norma não replica simplesmente o instituto da custódia de ativos financeiros: ela adapta o tratamento tradicional do tema às especificidades técnicas próprias do regime de descentralização e da criptografia assimétrica.
A referida Resolução foi publicada em um momento relevante: após anos em que o setor se desenvolveu em ambiente de experimentação, marcado por promessas de autonomia, eliminação de intermediários e novas formas de organização econômica, mas também por vulnerabilidades operacionais capazes de comprometer a confiança dos usuários e a integridade das operações.
Para compreender plenamente o alcance da Resolução BCB 520/2025, é indispensável retomar os fundamentos que estruturam a própria noção de titularidade sobre ativos virtuais.
A tecnologia blockchain revoluciona a forma de atribuição e registro de propriedade: não pelos processos centralizados comumente empregados na criação e negociação de ativos, mas pelo domínio de uma chave privada, gerada a partir de técnicas de criptografia assimétrica, que confere ao titular a capacidade de movimentar valores registrados em uma rede distribuída.
A chave pública, derivada matematicamente da chave privada, funciona como endereço de recebimento, sem permitir sua reconstrução. Nesse modelo, os ativos não ficam “armazenados” em carteiras, permanecem distribuídos na blockchain, e o que se guarda, de fato, é a capacidade de acessá-los. A máxima “not your keys, not your coins” sintetiza esse paradigma: quem controla a chave privada controla, de modo absoluto, o ativo correspondente.
A Resolução BCB 520/2025 define que a atividade de custódia de ativos virtuais envolve, entre outras atividades, a guarda e o controle do exercício dos direitos e benefícios relacionados ao ativo, e conciliação das posições e atendimento às instruções de movimentação dos ativos, além de tratamento de eventos incidentes sobre os ativos, atividades que replicam as atribuições típicas de custodiantes.
Por outro lado, a regulamentação do setor financeiro tradicional é adaptada para dispor que, na atividade de custódia de ativos virtuais, a PSAV seja responsável pela segurança das chaves privadas dos ativos sob sua guarda e pela adoção de medidas que mitiguem o risco de violação à integridade e a qualquer outra característica dos ativos virtuais custodiados.
O regime de responsabilidade do custodiante definido na norma se justifica porque, no universo blockchain, cada ponto vulnerável na cadeia de acesso pode comprometer o patrimônio de milhares de usuários.
A PSAV que terceirizar atividade de custódia deve observar uma série de requisitos e realizar diligência acerca da capacidade técnica e operacional da entidade contratada. A complexidade da atividade de custódia de ativos virtuais se revela ao examinarmos a distinção entre autocustódia, custódia por terceiros e custódia híbrida.
A autocustódia pode ser definida pela posse direta do investidor sobre os ativos virtuais, alocados em uma carteira digital de titularidade do investidor, bem como das respectivas chaves privadas. Tal modalidade oferece autonomia, mas concentra o risco de perda das chaves privadas e, consequentemente, dos ativos virtuais.
Na custódia por terceiros, um prestador de serviço terceirizado é responsável por custodiar as chaves privadas e fornece interfaces para o acesso pelo investidor. Tal modalidade simplifica o processo de guarda das chaves privadas, mas também é suscetível a riscos de governança, falhas operacionais, insolvências e fraudes, como já visto em plataformas do setor.
Por fim, há uma terceira via, que gera debates sobre seu status enquanto forma alternativa de custódia de terceiros, chamada de custódia híbrida. Essa forma combina a autocustódia e a custódia por terceiros. Nessa estrutura, os próprios detentores dos ativos mantêm controle exclusivo sobre suas chaves privadas, mas o provedor da solução recebe um acesso limitado a essas chaves, conforme regras predefinidas em smart contract. Caso o usuário perca todas as suas chaves privadas, é possível recuperar os criptoativos por meio dessas chaves de acesso limitado, armazenadas pelo custodiante.
A custódia híbrida surge como tentativa de conciliar autonomia e mitigação de riscos, permitindo que o usuário mantenha controle, mas com mecanismos de recuperação gerenciados por entidades especializadas via smart contracts.
Neste ponto, a Resolução BCB 520/2025 restringe a prestação de serviços com ativos virtuais e, por consequência, a interação com carteiras de clientes a PSAVs autorizadas e demais entidades autorizadas a funcionar pelo BC passíveis de prestarem tais serviços. A autocustódia não está regulada na resolução.
A questão das carteiras e suas diversas formas é abordada ao longo da Resolução. Quando o parágrafo segundo do art. 9º determina que o custodiante garanta a disponibilidade dos ativos, e a exclusividade na fruição dos direitos sobre um determinado ativo, há a subsunção da realidade técnica na norma jurídica.
Isso significa que uma hot wallet cujo acesso pode ser mediante senhas, números PIN, reconhecimento facial ou outras tecnologias, agora tem um patamar mínimo de usabilidade previsto na norma. Considerando que que carteiras conectadas à Internet são inerentemente menos seguras, sendo inúmeros os casos de acessos indevidos a esse tipo de carteira, uma falha dessa natureza passa a ser um descumprimento regulatório, com todas as implicações decorrentes.
Por outro lado, cold wallets, por manterem suas chaves privadas off-line, não se sujeitam a todos os aspectos da regulação, mas nem por isso escapam da exigência atribuída às PSAVs em temas de compliance e PLD/FT, que são mencionados no art. 34, inciso II da Resolução.
Ainda sobre os impactos do tipo de carteira utilizada pelos clientes, uma PSAV que atenda muitas carteiras frias terá de empregar esforços específicos para identificar os beneficiários de uma operação, conforme exigência do art. 44, parágrafo único, inciso II.
Por outro lado, PSAVs que tenham forte atuação com carteiras quentes precisam garantir que as políticas de guarda e proteção das chaves privadas sejam robustas e disseminadas na organização, sob pena de infringir as exigências do art. 49 da Resolução.
Esse processo regulatório, porém, não é isento de efeitos colaterais, a elevação do custo de conformidade pode estimular um movimento de concentração, com sobrevivência apenas de organizações capitalizadas e tecnicamente maduras, enquanto players menores, que impulsionaram a inovação no setor, podem não conseguir se adaptar.
Há risco de que a regulação excessivamente rigorosa reduza a diversidade de modelos de negócio, enfraquecendo ecossistemas experimentais e limitando alternativas que historicamente promoveram avanços em blockchain, tokenização e smart contracts.
O desafio do regulador será calibrar continuamente suas exigências, reconhecendo que o ciclo tecnológico da Web3 avança de maneira muito mais rápida que o ciclo normativo. Se o marco regulatório não se ajustar dinamicamente, pode-se gerar um descompasso prejudicial tanto à segurança quanto ao desenvolvimento inovador.
A questão central, portanto, não é optar entre descentralização e regulação, mas construir um ponto de encontro possível entre esses dois mundos. A Resolução BCB 520/2025 não nega a filosofia que inspira o bitcoin e as finanças descentralizadas; ela reconhece que, para que esse ecossistema se torne sustentável, é preciso impor padrões fiduciários capazes de mitigar riscos que não são eliminados pela tecnologia.
A convivência entre modelos centralizados e descentralizados dependerá do amadurecimento das instituições, da evolução técnica das soluções de custódia e da capacidade do regulador de evitar tanto a sub-regulação quanto o excesso que paralisa a inovação. Se essa convergência for alcançada, o Brasil poderá consolidar-se como referência internacional em regulação de ativos virtuais, combinando prudência, segurança e abertura à inovação.
