O Banco Central (BC) anunciou nesta sexta-feira, 5 de setembro, uma série de mudanças no sistema financeiro que afetam diretamente as operações via Pix e TED, especialmente em instituições de pagamento ainda não autorizadas e nas que dependem de empresas terceirizadas de tecnologia, conhecidas como Prestadores de Serviços de Tecnologia da Informação (PSTIs).
Além disso, o BC determinou que nenhuma instituição poderá começar a funcionar sem autorização prévia e antecipou para maio de 2025 o prazo para que empresas já em atividade solicitem a regularização. Também foram estabelecidas novas exigências de capital mínimo e de segurança da informação.
As mudanças entram em vigor imediatamente e têm como objetivo reforçar a proteção do sistema financeiro, após uma série de ataques hackers e investigações que apontaram o uso de fintechs e fundos de investimento em esquemas de lavagem de dinheiro comandados pelo crime organizado.
Limite para Pix e TED
A medida mais visível para os usuários é a criação de um teto de R$ 15 mil em transferências via Pix e TED em instituições de pagamento não autorizadas e nas que se conectam ao sistema financeiro por meio de PSTIs.
Segundo o BC, a restrição atinge apenas uma parcela pequena das operações, já que 99% das transações feitas por empresas ficam abaixo desse valor. Para valores superiores, será necessário dividir a transferência em mais de uma operação.
Esse limite poderá ser retirado quando a instituição conseguir autorização do Banco Central ou quando o PSTI comprovar que cumpre os novos padrões de segurança exigidos.
De forma provisória, instituições que já tiverem adotado controles adequados de segurança da informação poderão pedir dispensa da limitação por até 90 dias.
Autorização prévia obrigatória
Outra mudança importante é que nenhuma instituição de pagamento poderá iniciar suas atividades sem autorização prévia do Banco Central.
O prazo para que empresas já em operação solicitem a autorização foi antecipado em mais de quatro anos: em vez de dezembro de 2029, a data limite agora será maio de 2025.
Se o pedido for negado, a instituição terá 30 dias para encerrar suas atividades. O BC também informou que poderá exigir certificação técnica independente para comprovar se os requisitos estão sendo atendidos.
Novos controles no Pix
O Banco Central determinou ainda que apenas instituições classificadas nos grupos S1, S2, S3 ou S4, que não sejam cooperativas, poderão atuar como responsáveis pelo Pix de empresas que não têm autorização.
Esses grupos são uma forma de segmentação do BC para classificar bancos e financeiras de acordo com seu porte e risco. Com a regra, o objetivo é garantir que apenas instituições de maior robustez fiquem responsáveis por operações mais sensíveis. Os contratos já existentes deverão ser adaptados em até 180 dias.
Capital mínimo para empresas de tecnologia
As PSTIs, que fornecem a estrutura tecnológica para que fintechs e bancos se conectem ao sistema financeiro, também terão de seguir novas regras.
Agora, essas empresas precisam comprovar um capital mínimo de R$ 15 milhões e atender a exigências mais duras de governança e gestão de riscos.
Quem descumprir poderá ser alvo de medidas cautelares ou até perder o credenciamento, ficando proibida de prestar serviços.
As empresas já em funcionamento terão até quatro meses para se adequar às novas regras.
Contexto: ataques e esquemas criminosos
As mudanças vêm após uma sequência de casos que expuseram fragilidades no sistema.
- Julho de 2024 – A C&M Software, que conecta instituições financeiras ao Banco Central, informou ter sido alvo de um ataque cibernético em sua infraestrutura.
- Setembro de 2024 – A Sinqia, empresa que integra bancos ao Pix, sofreu ataque que resultou em aproximadamente R$ 710 milhões em transações não autorizadas.
- Setembro de 2024 – A fintech Monbank anunciou que hackers desviaram R$ 4,9 milhões. Segundo a empresa, nenhuma conta de cliente foi comprometida e cerca de R$ 4,7 milhões foram recuperados.
Além disso, uma investigação da Polícia Federal revelou que o crime organizado usava fintechs e fundos de investimento para movimentar bilhões de reais de forma ilegal. O esquema, ligado ao setor de combustíveis, deixou de recolher R$ 7,6 bilhões em impostos e envolvia pelo menos 40 fundos.
Segundo o BC, esses episódios mostram que a infraestrutura usada por algumas fintechs e prestadores de serviços se tornou um ponto de vulnerabilidade, exigindo regras mais rígidas.
Impacto para o cidadão comum
Na prática, a maior parte da população não sentirá mudanças diretas no uso do Pix. Isso porque o limite de R$ 15 mil por operação atinge apenas instituições ainda não autorizadas ou que usam PSTIs fora das novas exigências.
Nos grandes bancos e nas fintechs já autorizadas, as transferências continuarão funcionando normalmente.
O Banco Central reforça que as medidas não foram criadas para dificultar a vida do consumidor, mas sim para reforçar a segurança, coibir golpes e dificultar o uso do sistema financeiro por criminosos.
