05/09/2025 - 11:37
Após casos de ataques cibernéticos nos últimos meses que envolveram desvios de centenas de milhões de reais, o Banco Central (BC) endureceu regras e estabeleceu novas medidas para instituições de pagamento (IPs) não autorizadas e instituições financeiras que atuam com Provedores de Serviços de Tecnologia da Informação (PSTIs), incluindo uma limitação de R$ 15 mil para transações de Pix e TED para esses dois tipos de instituições.
+Ataque hacker desviou mais de R$ 700 milhões em transações via Pix, diz Sinqia
Com isso, IPs não autorizadas e empresas que atuam com PSTIs terão que respeitar o limite no Pix de até R$ 15 mil até que elas e seus respetivos PSTIs passem a atender aos novos processos de controle de segurança.
Segundo dados do BC, 99% das transações de pessoa jurídica via Pix ficam abaixo de R$ 15 mil – cifra que cai para R$ 3,6 mil quando a amostragem analisada é de pessoas físicas.
As novas regras também estabelecem que nenhuma instituição de pagamento poderá começar a operar sem prévia autorização. O prazo final para que instituições de pagamento não autorizadas a funcionar pelo BC solicitem autorização para funcionamento antecipado de dezembro de 2029 para maio do ano que vem.
As regras entraram em vigor imediatamente e serão publicadas formalmente às 18h desta sexta, 5, pelo Banco Central. No Diário Oficial, entrarão ás 21h.
Segundo o presidente do Banco Central, Gabriel Galípolo, são medidas que visam combater o crime organizado.
“Era de se esperar que o crime parasse de roubar carteiras para roubar senhas. Os ataques objetivaram roubar dinheiro de instituições, não de clientes. Mas o ambiente financeiro não reserva margem para qualquer tolerância no quesito segurança”, declarou, em coletiva de imprensa nesta sexta-feira, 5.
Segundo o presidente da autarquia, foi verificado um ‘tipo de repetição em algum padrão’ nos ataques, o que demandou do Banco Central o que considera ‘medidas excepcionais’.
A avaliação é de que o limite de transações é a melhor calibragem possível, dado que as instituições que entram nessa régua representam 3% do total de contas, e as transações acima de R$ 15 mil representam 1% destas – ou seja, a regra de limite de transações afetará um total de 0,03% das transações totais de instituições financeiras.
“Nessas tentativas de fraude os volume foram bastante altos. Ao restringir o valor, você força uma repetição de operações maior, o que tende a ser capturado mais rápido. Essa restrição permanece até a adequação da instituição, ou no caso do PSTI, precisa atender novos processos de controle e segurança”, explica Galípolo.
O limite também não será uma medida regulatória, mas sim implementada diretamente nos sistemas do Banco Central.
“Esse limite vai ser estabelecido no sistema do Banco Central, não é simplesmente um limite regulatório que as instituições financeiras vão ter que cumprir. O sistema do Banco Central vai travar as transações acima de R$ 15 mil”, explica Rogério Lucca, Secretário Executivo da autarquia.
BC implementa ‘piso’ de R$ 15 milhões
Juntamente com o limite para o Pix, nessa nova normativa o BC aumentou os requisitos e controles para o credenciamento dos PSTIs.
Agora, será exigido um capital mínimo de R$ 15 milhões, ao passo que para IPs será avaliada caso a caso, mas ficará em cerca de R$ 7 milhões.
O descumprimento dessas regras irá acarretar em medidas cautelares e até descredenciamento junto ao BC. Os PSTIs já em atividade terão até quatro meses para se adequarem.
A normativa ainda prevê controles adicionais às instituições de pagamento. Agora, somente integrantes dos segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. Os contratos vigentes deverão ser adequados em até cento e oitenta dias.
O BC poderá requerer certificação técnica ou avaliação emitida por empresa qualificada independente que ateste o cumprimento dos requisitos autorizativos. A instituição de pagamento que já estiver prestando serviços e tenha seu pedido de autorização indeferido deverá encerrar suas atividades em até 30 dias. A vigência da medida é imediata.
Galípolo critica associação entre Faria Lima e Crime Organizado
Galípolo ainda criticou as associações feitas entre Faria Lima e crime organizado.
“Em chamadas e publicações foram feitas associações entre Faria Lima e crime organizado nesses últimos dias. Nessa associação, a Faria Lima e as fintechs são vítimas do crime organizado. Tanto os bancos incumbentes quanto os novos foram responsáveis por uma inclusão fantástica nos últimos anos.”
Na coletiva de imprensa, ainda acrescentou que ‘não cabe ao BC fazer o trabalho da polícia’, mas que as medidas de endurecimento de governança e de regras de segurança devem conter novos ataques hackers e situações análogas.
