BC limita Pix e TED e endurece regras para fintechs

O Banco Central (BC) anunciou nesta sexta-feira (5), um conjunto de medidas com o objetivo de reforçar a segurança no sistema financeiro nacional, após uma série de ataques cibernéticos que atingiram bancos e fintechs. As novas diretrizes passam a valer imediatamente em alguns casos e refletem a preocupação da autoridade monetária com a crescente sofisticação dos crimes virtuais no ambiente bancário digital.

Durante uma coletiva de imprensa, o presidente do Banco Central, Gabriel Galípolo, explicou que os ataques recentes foram realizados por organizações criminosas especializadas e que tanto instituições financeiras tradicionais quanto empresas de tecnologia financeira foram afetadas. Ele destacou que a criminalidade está fora das instituições, mas aproveita suas estruturas para realizar fraudes e desvios. Segundo Galípolo, no passado, crimes contra o sistema financeiro eram visíveis, como assaltos a carros-fortes ou agências bancárias. Hoje, com as operações migrando para o meio digital, esses crimes se tornam menos evidentes, mas não menos graves. Para ele, a segurança é um tema que não permite margem para descuidos ou tolerância.

Entre as principais mudanças anunciadas está a limitação do valor de transferências via PIX e TED a R$ 15 mil por operação, quando realizadas por instituições de pagamento que ainda não têm autorização formal do BC e que operam por meio de prestadores de serviços de tecnologia da informação (PSTIs). Esse teto poderá ser ampliado futuramente, mas somente após a instituição comprovar que adotou medidas adicionais de segurança.

Outra mudança importante é a exigência de autorização prévia para qualquer empresa que queira atuar como instituição de pagamento. O prazo para que empresas em atividade regularizem sua situação foi antecipado de dezembro de 2029 para maio de 2026, o que pressiona o setor a se adequar com mais agilidade.

Além disso, o Banco Central estabeleceu restrições específicas para o uso do PIX. Apenas instituições classificadas nos segmentos S1, S2, S3 ou S4 – com exceção das cooperativas – poderão operar o sistema em nome de terceiros que ainda não estejam autorizados formalmente. As instituições que mantêm contratos nessa modalidade terão até 180 dias para se adaptar às novas regras.

O BC também poderá exigir que empresas submetam seus sistemas a avaliações técnicas realizadas por entidades independentes, a fim de verificar se cumprem os requisitos mínimos para operar com segurança. Caso o pedido de autorização seja negado, a empresa deverá encerrar suas atividades em até 30 dias.

Os prestadores de serviços de tecnologia da informação, que atuam como intermediários no sistema financeiro, também foram alvo de novas exigências. Agora, eles precisarão comprovar um capital mínimo de R$ 15 milhões e implementar controles de governança mais robustos, além de mecanismos mais eficientes de gestão de riscos. Essas empresas terão um prazo de quatro meses para se adequar às exigências.

Com essas medidas, o Banco Central busca não apenas mitigar os riscos de novas ações criminosas, mas também fortalecer a confiança dos usuários nos serviços financeiros digitais, diante de um cenário em que a sofisticação dos ataques virtuais exige respostas regulatórias cada vez mais firmes.