O Banco Central (BC) apresentou nesta sexta-feira, 5 de setembro de 2025, um pacote de medidas destinado a fortalecer a segurança do Pix e do Sistema Financeiro Nacional (SFN). A iniciativa foi anunciada pelo presidente da autarquia, Gabriel Galípolo, ao lado dos diretores Izabela Correa (Relacionamento, Cidadania e Supervisão de Conduta) e Gilneu Vivan (Regulação).
As novas regras surgem após quatro ataques cibernéticos registrados desde julho, três deles com desvio de recursos. Entre os alvos estão provedores de serviços de tecnologia da informação (PSTI), iniciadores de transação de pagamento (ITP) e instituições de pagamento (IP) ainda sem licença do regulador.
Principais medidas
Limite operacional de R$ 15 mil
Transações de Pix e TED realizadas por instituições de pagamento não autorizadas ou conectadas ao SFN por meio de PSTI passam a ter teto de R$ 15 mil. O limite pode ser retirado em até 90 dias, desde que a instituição e o prestador comprovem adoção de novos controles de segurança.
Autorização prévia obrigatória
A partir de agora, nenhuma instituição de pagamento pode iniciar operações sem autorização do BC. O prazo final para empresas já em atividade solicitarem licença foi antecipado de dezembro de 2029 para maio de 2026.
Responsabilidade de grandes instituições
Empresas enquadradas nos segmentos S1, S2, S3 e S4 que não sejam cooperativas poderão assumir a responsabilidade pelo Pix de instituições de pagamento não autorizadas. Contratos atuais devem ser atualizados em até 180 dias.
Certificação independente
O BC poderá exigir avaliações técnicas emitidas por empresas qualificadas para comprovar o atendimento às exigências regulatórias. Instituições que tiverem o pedido de licença negado terão 30 dias para encerrar atividades.
Imagem: Fabio Rodrigues-Pozzebom
Capital mínimo para PSTI
Prestadores de serviços de tecnologia da informação precisam agora de capital mínimo de R$ 15 milhões para atuar no SFN. Empresas já em atividade terão quatro meses para se adequar; até lá, permanecerão submetidas ao limite de R$ 15 mil por transação.
Ataques recentes
Confira as ocorrências que motivaram o pacote de segurança:
- 2 de julho – C&M: desvio estimado em mais de R$ 1 bilhão;
- 29 de agosto – Sinqia: prejuízo de R$ 710 milhões;
- 2 de setembro – Monetarie: perdas de R$ 4,9 milhões;
- 4 de setembro – fintech não identificada: sem evidência de desvio ou roubo de dados.
Gabriel Galípolo destacou que as medidas representam um primeiro passo e que novas ações serão anunciadas conforme evoluam os estudos para mitigar riscos. “Você nunca consegue zerar a possibilidade de ataques”, afirmou.
Com informações de Gazeta do Povo
