O Banco Central (BC) anunciou nesta sexta-feira (5) um pacote emergencial para reforçar a segurança do Sistema Financeiro Nacional depois de quatro ataques hacker que utilizaram a infraestrutura do Pix desde julho. As medidas, divulgadas pelo presidente da autarquia, Gabriel Galípolo, entram em vigor imediatamente e estabelecem novos limites operacionais, exigências de capital e prazos mais curtos para autorização de instituições de pagamento.
Principais medidas
Limite de R$ 15 mil por transação
A partir de agora, transferências por Pix ou TED feitas por instituições de pagamento sem autorização do BC, ou que acessam a rede por meio de prestadores de serviços de tecnologia da informação (PSTI), não podem ultrapassar R$ 15 mil. O teto poderá ser revogado em até 90 dias, desde que a empresa e seu PSTI comprovem a adoção dos novos controles de segurança.
Autorização prévia obrigatória
Nenhuma instituição de pagamento poderá iniciar operações sem autorização da autarquia. O prazo final para que empresas já em atividade sem licença solicitem o aval do regulador foi antecipado de dezembro de 2029 para maio de 2026.
Responsabilidade pelo Pix
Bancos dos segmentos S1, S2, S3 e S4 que não sejam cooperativas poderão atuar como responsáveis pelo Pix de instituições não autorizadas. Contratos atuais devem ser atualizados em até 180 dias.
Avaliação independente
O BC passa a exigir, sempre que considerar necessário, certificações ou laudos técnicos emitidos por empresas independentes para comprovar o cumprimento dos requisitos regulatórios. Caso o pedido de autorização seja negado, a instituição deverá encerrar atividades em até 30 dias.
Capital mínimo para PSTI
Prestadores de serviços de tecnologia da informação agora precisam manter capital mínimo de R$ 15 milhões. Empresas que já atuam têm quatro meses para se adequar; até lá, ficam sujeitas ao limite de R$ 15 mil por Pix ou TED. O descumprimento pode acarretar medidas cautelares ou descredenciamento.
Imagem: Fabio Rodrigues-Pozzebom
Contexto dos ataques
Desde julho, quatro incidentes exploraram fragilidades no sistema de mensageria do Pix:
- 2 de julho – C&M: desvio estimado em mais de R$ 1 bilhão;
- 29 de agosto – Sinqia: prejuízo de R$ 710 milhões;
- 2 de setembro – Monetarie: perda de R$ 4,9 milhões;
- 4 de setembro – fintech não identificada: sem registro de desvio ou roubo de dados.
No anúncio, Galípolo qualificou as ações como um “primeiro passo” e ressaltou que novas iniciativas estão em estudo. Participaram também a diretora de Relacionamento, Cidadania e Supervisão de Conduta, Izabela Correa, e o diretor de Regulação, Gilneu Vivan.
Com informações de Gazeta do Povo
