O aproveitamento, por criminosos, de brechas na legislação de instituições financeiras digitais, que resultou na escalada de golpes envolvendo alguns desses players recentemente, não pode servir como pretexto para manchar a reputação de todo ecossistema. “As fintechs fazem, fizeram e farão um grande benefício para a sociedade. Não podemos permitir que os incumbentes recuperem o espaço perdido para elas [por causa de algumas problemáticas]”, disse Carlos Augusto de Oliveira, diretor da Associação Brasileira de Fintechs (ABFintechs). Ele participou do painel As novas regras do Banco Central para a segurança do Sistema Financeiro Nacional durante o “Fintouch 2025“, ao lado de Ricardo Binnie, sócio do Pinheiro Neto Advogados.
O diretor da ABFintechs comentou, praticamente em primeira mão, o teor da Instrução Normativa 667, que detalha as condições para a dispensa do limite (ou “trava”) de R$ 15 mil por transação no Pix. A norma do Banco Central (BC) saiu na segunda-feira (22/9) e foi publicada nesta quarta (24/9) no Diário Oficial da União. A trava, restrita a instituições não autorizadas e àquelas que se utilizam dos serviços dos provedores de tecnologia conhecidos como PSTIs, foi criada pela Resolução 496, de 5/9, para coibir golpes.
Mudança de regras
Na semana passada, o BC havia publicado a Resolução 503, prevendo essa dispensa em alguns casos. Agora, a IN 667 detalhou em quais. Resumidamente, para obterem essa dispensa, as instituições que usam PSTIs precisam cumprir requisitos de segurança, capital e auditoria muito rigorosos. Isso, enquanto os PSTIs não cumprirem os requisitos para se credenciarem junto ao BC, conforme exigido pela Resolução 498, também de 5/9.
Atualmente, há seis PSTIs ativos no Brasil, segundo informações no site do BC: ABBC, C&M Software, Gokei, JD Consultores, MAPS e Sinqia. No último dia 15/9, o BC descredenciou a Stark Serviços Digitais como PSTI, com base no artigo 6º, inciso I, da Resolução 498. Procurada pelo Finsiders Brasil, a Stark ainda não retornou. O artigo diz que empresas de serviço de comunicação contratadas para a operação da Rede do Sistema Financeiro Nacional (RSFN) não podem mais ser também PSTI. A Stark havia recebido autorização do regulador em janeiro deste ano.
Carlos e Ricardo admitiram que o movimento de aperto ao cerco é incômodo, vai custar caro – mas é necessário. “E a barra vai continuar subindo”, previu Carlos. Ele lembrou que o BC é o guardião do sistema. E, que mesmo que as “maçãs podres” sejam uma exceção, não dá mais para ser tão flexível. “O sistema evoluiu muito nos últimos anos, ficou mais sofisticado”, lembrou Ricardo.
Leia também
Entenda as exceções da IN 667
A instituição que usar um PSTI precisa demonstrar garantia de capital extra equivalente a 100% do maior volume diário de transferências interbancárias do período de agosto de 2025. E também medidas de segurança cibernética e de prevenção a fraudes detalhadas; e relatório de auditoria independente atestando o cumprimento dos controles.
Além disso, não compartilhar chaves privadas com o PSTI é outro item da norma. Precisam ainda revogar certificados digitais antigos e usar certificados distintos para diferentes ambientes; monitorar transações 24h por dia para identificar fraudes. E ter mecanismos de interrupção imediata em caso de comprometimento do sistema.
Se o PSTI fornecer apenas conectividade (e não processamento), há exigências adicionais. Entre elas, criptografia, rastreabilidade de transações, backups, testes de vulnerabilidade, política de acesso com múltiplos fatores de autenticação, firewalls e segregação de ambientes.
A dispensa só entra em vigor após análise e aprovação formal do BC. É temporária, por até 90 dias (e só vale em dias úteis) podendo ser prorrogada em períodos iguais se a instituição continuar atendendo às exigências.
Colaborou Danylo Martins
