Banco Central anuncia medidas de segurança e limita Pix e TED a R$ 15 mil para instituições sem licença

BC também decidiu antecipar cronograma e prevê que todas as fintechs devem operar dentro do arcabouço regulatório até 2026

Master Master
Set 6, 2025 - 13:11
Banco Central anuncia medidas de segurança e limita Pix e TED a R$ 15 mil para instituições sem licença
O presidente do Banco Central, Gabriel Galípolo, anuncia novidades na segurança do Pix — Foto: Cristiano Mariz/Agência O Globo

Banco Central anunciou nesta sexta-feira um pacote de medidas de aperto na regulação do sistema financeiro para fechar brechas que estão sendo exploradas pelos criminosos. Para instituições de pagamento (IPs) não autorizadas e as que se conectam à Rede do Sistema Financeiro Nacional via Prestadores de Serviços de Tecnologia da Informação (PSTI) — ou seja, por terceirizados —, fica limitado em R$ 15 mil o valor de TED e Pix por transação.

Segundo o BC, a limitação poderá ser removida quando o participante e seu respectivo prestador de serviço atenderem aos novos processos de controle de segurança que foram anunciados nesta sexta. Ou seja, a intenção é de que seja uma medida excepcional e transitória. No curto prazo, os participantes que atestarem ao BC a adoção de controles de segurança da informação poderão ser dispensados da limitação por até 90 dias. A medida entra em vigor imediatamente.

— Por que R$ 15 mil? Porque 99% das transações de Pix ou TED de pessoas jurídicas (PJ) estão abaixo de R$ 15 mil. Se eu fosse falar de pessoa física, esse valor seria de R$ 3.700. É uma folga bastante boa. Apenas 1% de PJ se encaixa nesse valor de R$ 15 mil. Qual é o tamanho do universo de provedores de tecnologia e de contas de instituições de pagamento não autorizadas? É 3% do total de contas existentes no sistema — disse o presidente do Banco Central, Gabriel Galípolo.

Segundo ele, nos últimos ataques contra o sistema, os volumes de Pix e de TED que se tentam fazer são bastante altos:

— Ao se restringir os volumes, vai forçar a necessidade, para fazer ataque, um volume de operações maior, o que tende a ser identificado mais rápido.

Rogério Lucca, secretário-executivo do BC, explicou que o limite de transferência não será regulatório, mas que os sistemas do Banco Central vão travar as transações dessas instituições que superarem R$ 15 mil.

— Isso é uma coisa relativamente nova. Não é um comando legal, mas no sistema — reforçou Galípolo. — Por enquanto, o limite é esse de R$ 15 mil por transação. Podemos avançar para outras formas de limitação.

Ataques nos últimos meses

Nos últimos meses, tem ficado cada vez mais claro que grupos criminosos têm se aproveitado de brechas no sistema para desviar recursos, via fraudes ou transações ilícitas. Dois episódios recentes de ataque a sistemas de empresas de tecnologia que conectam instituições financeiras ao Pix desviaram mais de R$ 1,5 bilhão de recursos de bancos e fintechs — uma parte bloqueada pelo BC.

Além disso, investigações policiais mostram uma infiltração crescente de facções criminosas no sistema financeiro, sobretudo nas novatas. O regulador abriu processos administrativos contra as instituições envolvidas, mas avalia que, como os episódios estão se tornando mais recorrentes, é necessário aumentar a regulação para atacar vulnerabilidades do sistema.

— É relativamente esperado que o crime organizado fosse se adaptando, para sair de roubar carteiras, para senhas de pessoas, de assalto agências ou até algum tipo de invasão de infraestrutura crítica, física ou virtual, para atacar alguns tipos de instituição. E ainda que tenha sido restrito a instituições, sem prejuízo ao cidadão, mas o sistema financeiro é um ambiente que não tem margem de tolerância no quesito de segurança — disse Galípolo.

O presidente do BC ainda destacou que as medidas anunciadas são contra o crime organizado, tentando desfazer qualquer desconfiança sobre os tipos de instituições, sejam elas fintechs ou bancos. Segundo ele, os chamados "bancos do crime" não são efetivamente bancos ou fintechs, mas criminosos que se aproveitam atividades produtivas para viabilizar suas operações ilícitas.

— Eu quero deixar bem claro que a Faria Lima e as fintechs são as vítimas do crime organizado. Claramente, tantos os bancos chamados de incumbentes quanto os novos entrantes foram responsáveis por inclusão fantástica no sistema financeira — disse. — Essas medidas são para endereçar problemas gerados pelo crime organizado, são contra o crime organizado, não contra qualquer tipo de instituição ou segmento que se possa imaginar.

Novo cronograma

Como mostrou O GLOBO, o BC antecipou as regras para instituições de pagamento e provedoras de tecnologia, empresas que interligam o sistema de bancos e fintechs à rede do BC para realizar as transações financeiras.

Segundo Galípolo, as medidas se dividem em "travas excepcionais", como é o caso da limitação de transações a R$ 15 mil para determinadas instituições, e em antecipação de iniciativas que já estavam programadas. O presidente do BC ainda prometeu um novo pacote de medidas em breve, provavelmente ainda este an,o sobre contas laranja, contas-bolsão e criptoativos.

— As medidas anunciadas hoje se dividem em dois tipos: medidas de contenção excepcional, reconhecendo um momento onde a gente identificou a repetição de algum padrão em alguns tipos de instituições, que demandam uma trava, até que consigam demonstrar a devida segurança e governança para operar com segurança. E outras (medidas) que são antecipação de coisas que já estavam na agenda.

Dentre as que já estavam na agenda está a antecipação do cronograma de autorização obrigatória das instituições de pagamento (IPs). O BC irá demandar que todas as IPs entrem com o processo de autorização até maio do ano que vem. Essa antecipação já estava valendo para os participantes do Pix e agora será ampliada para todo o mercado, cujo o prazo final anteriormente era 2029.

— A partir de agora, nenhuma instituição pode começar a operar sem a devida autorização do Banco Central. Então a gente resolve o estoque até maio de 2026 e impede a entrada de novos—(sem autorização) explicou Galípolo.

Atualmente, há 142 instituições que aguardam análise do processo de autorização dentro do BC, sendo 72 instituições de pagamento. A expectativa é de que ainda este ano outras 14 IPs entrem com o pedido de licença e, no ano que vem, 76. Além disso, 250 instituições usam PSTI atualmente.

Como o percentual de IPs sem licença é pequeno, a expectativa é que o impacto sobre o consumidor de uma eventual redução de participantes não seja grande. No Pix, por exemplo, cerca menos de 10% dos participantes não têm autorização. De qualquer forma, neste momento, o BC entende que a solidez do sistema financeiro precisa ter preponderância sobre a eficiência.

Além disso, o BC vai colocar uma barra mais alta para permitir a autorização das IPs. Em medida que deve ser anunciada nos próximos meses, o regulador deve aumentar o capital mínimo exigido para que IPs possam entrar com processo de autorização no órgão, que deve subir para algo como R$ 7 milhões. Segundo o diretor de Regulação, Gilneu Vivan, a ideia é alterar a lógica de cobrança do capital mínimo, que hoje é por tipo de instituição, para o número de atividades ofertadas.

Atualmente, para IPs de moeda eletrônica, aquelas que oferecem contas de pagamento, o capital mínimo exigido é de R$ 2 milhões. Para participar do Pix, sobe para R$ 5 milhões. Para iniciadores de pagamento, é de R$ 1 milhão.

— IPs que têm três tipos de atividade terão exigência de capital mínimo diferente daquelas com apenas uma.

Por que algumas fintechs não têm aval do BC?

  • As IPs são o tipo de fintech que mais se assemelha aos bancos, ainda que tenham o escopo de atuação reduzido — por exemplo, não podem conceder crédito.
  • Elas começaram a atuar no mercado em 2013, oferecendo uma espécie de conta-corrente simplificada (conta de pagamento), sem necessidade de aval do BC.
  • O objetivo do regulador era impulsionar a competição no mercado financeiro, na época altamente concentrado nos cinco maiores bancos do país.
  • Com o crescimento forte das novatas, o BC foi aumentando as cobranças gradualmente. Em 2021, passou a ser obrigatório o pedido de autorização para o funcionamento, mas foi definido um cronograma de adequação, com base no tamanho da instituição, que até então só terminaria em 2029.
  • As IPs sem licença participam do Pix sob a tutela de uma instituição autorizada e estão sujeitas a uma supervisão mínima.
  • Mas, na prática, até meados deste ano, quando o BC passou a cobrar informações de transações e clientes, o regulador não tinha visibilidade sobre essas empresas que atuam no Pix sem autorização.

Agora, o BC determinou que somente integrantes do segmentos S1, S2, S3 ou S4 - divisão por tamanho das instituições reguladas - que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. Na prática, o regulador excluiu também as instituições menores e não bancárias (S5),cujo porte é inferior a 0,1% do PIB. Os contratos vigentes deverão ser adequados em até cento e oitenta dias.

O cronograma extenso para autorização de IPs foi definido com base na capacidade estrutural do BC, que vem passando por uma redução importante de orçamento e de pessoal na última década. Agora, para conseguir dar conta de analisar todos os pedidos, o BC deve criar a possibilidade de a área de autorização solicitar outros subsídios para analisar o pleito, como certificações prévias de empresas independentes ou auditorias.

Saída mais rápida

Outra iniciativa do pacote para fortalecer a segurança no sistema financeiro prevê a retirada mais célere das instituições em funcionamento que tenham a licença recusada. Hoje, os bancos e fintechs com um pedido indeferido têm de apresentar um plano de saída ordenada que pode demorar meses. A ideia é limitar esse período.

"O BC poderá requerer certificação técnica ou avaliação emitida por empresa qualificada independente que ateste o cumprimento dos requisitos autorizativos. A instituição de pagamento que já estiver prestando serviços e tenha seu pedido de autorização indeferido deverá encerrar suas atividades em até 30 dias. A vigência da medida é imediata", disse o BC, em nota.

Provedores tecnologia

O BC também vai atacar dentro do primeiro pacote de medidas a fragilidade identificada nas provedoras de tecnologia que conectam os sistemas de fintechs e bancos menores às redes do BC. Em dois meses, dois ataques aos sistemas dessas prestadoras de serviços — a Sinqia e a C&M Software — geraram um desvio de mais de R$ 1,5 bilhão, parte bloqueada pelo BC.

Essas prestadoras de serviço são credenciadas pelo órgão, mas não passam por um processo de autorização como os bancos e instituições de pagamento, têm apenas uma avaliação técnica do departamento de tecnologia de informação.

Como os episódios recentes evidenciaram que essas empresas se tornaram “terceiro críticos” para o sistema, a ideia é que tenham que seguir critérios mais rígidos, como exigência de capital mínimo, requisitos de operação, processo de supervisão e detalhamento das penalidades cabíveis.

Segundo interlocutores, os últimos ataques ao Pix deixaram muito claro a vulnerabilidade das empresas que interligam as redes de BC e instituições para realizar as transações.

Suspeita-se que as prestadoras de serviços, que deveriam se ater à integração de sistemas, estão tendo acesso às chaves de transação, que dá início à transferência, que é de posse exclusiva das instituições reguladas pelo BC.

De acordo com pessoas com conhecimento no assunto, o ideal, do ponto de vista da segurança, seria que cada instituição tivesse sua própria ligação com o BC, mas seria inviável do ponto de vista do custo.

Dessa forma, o BC vai exigir uma governança e requisitos de seguranças mais robustos tanto das terceirizadas quanto das instituições reguladas no relacionamento com as prestadoras de serviço de tecnologia.

Passa-se a exigir capital mínimo de R$15 milhões. O descumprimento estará sujeito à aplicação de medidas cautelares ou até ao descredenciamento. A norma entra em vigor imediatamente e os provedores em atividade têm até quatro meses para se adequarem. Atualmente, há 7 provedores habilitados pelo BC.

Contas bolsão

Um dos instrumentos mais utilizados pelo os criminosos é a conta bolsão, que é normalmente aberta em nome de uma fintech e reúne recursos de variados clientes, sem transparência sobre quem são os reais beneficiários do dinheiro. Segundo as investigações, esse instrumento vem sendo utilizado por facções criminosas para ocultar a origem ilícita do dinheiro.

Nesse caso, o entendimento no BC é de que a regulamentação em vigor já proíbe esse instrumento. Pelas regras do BC, os bancos ou fintechs onde estão as contas bolsão precisam ter conhecimento não só do cliente direto, mas também dos terceiros.

Além disso, o assunto será tratado na regulamentação de banking as a service (BaaS), que está no forno, que deixa bem claro que os recursos das contas têm de ser segregados. Mas o regulador ainda estuda se novas medidas serão necessárias.

Fonte: Globo.com

Tags: