O Banco Central (BC) divulgou nesta sexta-feira (5/9) medidas para reforçar a segurança do Sistema Financeiro Nacional (SFN). Nos últimos dois meses, três invasões orquestradas pelo crime organizado desviaram pelo menos R$ 1,7 bilhão devido a brechas na regulamentação. As medidas, divididas em dois grupos, entram em vigor imediatamente. Os prazos para adequação variam de 30 dias a seis meses.
Segundo o presidente do BC, Gabriel Galípolo, o aperto das regras não para por aqui – novas medidas virão ainda neste ano. Entre elas, por exemplo, limitações ao uso das “contas bolsão” e “contas laranjas”. Galípolo fez questão de separar, porém, o joio do trigo. “[As instituições financeiras da] Faria Lima e as fintechs são as vítimas”, disse. “Os bancos incumbentes e os novos entrantes foram responsáveis por uma inclusão fantástica no sistema financeiro.”
Tanto para as Instituições de Pagamento (IPs) não autorizadas, quanto para aquelas que se conectam à Rede do Sistema Financeiro Nacional (RSFN) por meio dos Prestadores de Serviços de Tecnologia da Informação (PSTIs) – os principais canais recentemente usados pelos criminosos – as transferências (TED e Pix) ficam limitadas em R$ 15 mil. O limite cai quando o participante e seu respectivo PSTI atenderem aos novos processos de controle de segurança. E o BC pode suspender por 90 dias essa limitação “aos que atestarem a adoção de controles de segurança da informação”.
“A explicação para o limite de R$ 15 mil é que hoje 99% das transações de Pix ou TED de pessoas jurídicas estão abaixo de R$ 15 mil. Para pessoas físicas, o valor médio é de R$ 3,7 mil. Apenas 1% se enquadra acima dessa faixa [de R$ 15 mil]”, explicou o presidente do BC durante coletiva de imprensa. De acordo com Galípolo, as IPs não autorizadas e as que rodam via PSTIs representam hoje aproximadamente 3% do total de contas no SFN.
Só com autorização
A partir de agora, também, nenhuma IP poderá começar a operar sem prévia autorização do regulador. Além disso, o prazo final para que IPs solicitem autorização para funcionamento foi antecipado de dezembro de 2029 para maio de 2026. E mais: somente integrantes dos segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no Pix por IPs não autorizadas. Os contratos vigentes deverão se adequar em até 180 dias. S1, S2, S3 e S4 são siglas do BC usadas para classificar as instiuições financeiras por tamanho.
“O BC poderá requerer certificação técnica ou avaliação emitida por empresa qualificada independente que ateste o cumprimento dos requisitos autorizativos. A instituição de pagamento que já estiver prestando serviços e tenha seu pedido de autorização indeferido deverá encerrar suas atividades em até 30 dias”, diz o comunicado. “É uma maneira de aumentar o controle das IPs”, afirmou Galípolo na coletiva.
Leia também
Atualmente há cerca de 160 instituições na fila do BC, informou Rogério Lucca, secretário-executivo do BC, em coletiva de imprensa. O número, segundo ele, inclui as que já estão em processo de autorização (72), aquelas que devem pedir a licença junto ao BC ainda em 2025 (14) e as que o farão no ano que vem (76).
Barra mais alta para PSTIs
O conjunto de medidas anunciado hoje pelo BC também amplia os requerimentos de governança e de gestão de riscos para os PSTIs. Passa-se a exigir capital mínimo de R$ 15 milhões – até então, não havia esse valor definido. O descumprimento estará sujeito à aplicação de medidas cautelares ou até ao descredenciamento. A norma entra em vigor imediatamente e os PSTIs em atividade têm até quatro meses para se adequarem.
Embora existam mais de 1,8 mil instituições reguladas pelo BC, atualmente há apenas nove PSTIs, de acordo com informações no site do BC. Das nove empresas, sete estão ativas, enquanto duas aparecem como homologadas junto ao BC. A diferença entre elas é que as ativas, além da aprovação do regulador, têm clientes em produção.
Contexto
As medidas de segurança anunciadas pelo BC hoje vêm após uma sequência de três ataques hackers num intervalo de apenas dois meses. Vazamentos de chaves Pix também se tornaram mais “comuns” – até hoje, já vazaram mais de 48 milhões de chaves Pix de diferentes instituições em mais de 20 incidentes, de acordo com o próprio BC.
A escalada de fraudes, que não é de hoje, já tem feito o regulador apertar as regras para o Pix. O anúncio mais recente foi a criação de um novo recurso para o Mecanismo Especial de Devolução (MED), ferramenta que permite a devolução de recursos a vítimas de fraudes, golpes ou coerção. Com a nova funcionalidade – que vem sendo chamada de MED 2.0 – será possível rastrear os caminhos percorridos pelo dinheiro.
Desde 1/7, os players também precisam garantir que os nomes das pessoas e empresas vinculadas às chaves Pix batem com os nomes que estão nas bases de CPF e CNPJ da Receita Federal.
