Banco Central anuncia limite de Pix para instituições financeiras não autorizadas

O Banco Central (BC) anunciou, nesta sexta-feira (5), novas regras para reforçar a segurança do sistema financeiro brasileiro após ataques hackers e operações contra o crime organizado serem registrados no país. Uma das medidas anunciadas é o limite de R$ 15 mil ao valor de Transferência Eletrônica Disponível (TED) e Pix para instituições de pagamento não autorizadas e para aquelas que se conectam ao sistema financeiro através dos Prestadores de Serviços de Tecnologia da Informação (PSTIs). 

De acordo com o Banco Central, a limitação poderá ser removida quando o participante e seu respectivo PSTI atenderem aos novos processos de controle de segurança. Transitoriamente, os participantes que atestarem a adoção de controles de segurança da informação poderão ser dispensados da limitação por até 90 dias. A medida entra em vigor imediatamente.

Regras mais rígidas para autorização de novas instituições financeiras operarem no país também foram anunciadas. A partir de agora, nenhuma instituição de pagamento poderá começar a operar sem prévia autorização. As instituições de pagamento que atualmente não possuem autorização do Banco Central devem fazer a solicitação até maio de 2026. 

O Banco Central anunciou ainda a introdução de controles adicionais às instituições de pagamento. Somente integrantes dos segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. Os contratos vigentes deverão ser adequados em até cento e oitenta dias.

As segmentações fazem parte de uma classificação do BC que leva em consideração o tamanho das instituições. Quanto menor o número, maior o porte e a relevância da instituição. No segmento S1, por exemplo, estão os grandes bancos como Itaú, Banco do Brasil, Caixa Econômica Federal, entre outros. 

O BC também passa a exigir, a partir de agora, capital mínimo de R$ 15 milhões para o credenciamento dos Prestadores de Serviços de Tecnologia da Informação (PSTIs). Os PSTI em atividade têm até quatro meses para se adequarem. As empresas do tipo PSTIs são especializadas em soluções e suporte para as necessidades tecnológicas de outras empresas. 

Os alvos das medidas são instituições de pagamento que ainda não receberam a autorização do Banco Central e aquelas que se conectam ao sistema financeiro nacional por meio de prestadores terceirizados de Serviços de Tecnologia da Informação. Nesses dois casos, as operações com Pix vão ser limitadas em R$ 15 mil até que atendam às novas regras. O objetivo é identificar movimentações suspeitas com mais facilidade, especialmente as feitas pelo crime organizado. 

O teto de R$ 15 mil representa 99% das transferências feitas por pessoas jurídicas, segundo o presidente do BC, Gabriel Galípolo. "O que a gente assistiu é que em boa parte dessas tentativas de fraude que ocorreram, os volumes de transação, tanto de Pix quanto de TED que se tentam fazer, são volumes bastante altos. E ao você restringir o valor que é possível de ser feito, você vai forçar a necessidade para dar um para fazer algum tipo de ataque, uma repetição de operações maior que tende a ser captado mais rápido", explicou em coletiva de imprensa. 

De acordo com Galípolo, 75 instituições precisam solicitar autorização do BC até maio do ano que vem para continuarem operando no Brasil. Outras 40 aguardam avaliação. As novas regras foram anunciadas após uma megaoperação identificar o uso de ao menos 40 fundos de investimento e diversas fintechs para lavar dinheiro de facções criminosas. 

As medidas vêm ainda como resposta aos ataques a instituições financeiras e de pagamento, como fintechs. Nesta semana, a fintech Monbank informou que foi alvo de um ataque hacker que resultou no desvio de R$ 4,9 milhões. Segundo a instituição, nenhuma conta de clientes foi comprometida, e R$ 4,7 milhões já foram recuperados. "À luz do envolvimento do crime organizado nos recentes eventos de ataques a instituições financeiras e de pagamentos, o Banco Central anuncia medidas para reforçar a segurança do Sistema Financeiro", ressaltou o BC. 

• Para instituições de pagamento não autorizadas e as que se conectam à Rede do Sistema Financeiro Nacional via Prestadores de Serviços de Tecnologia da Informação (PSTI) fica limitado em R$ 15 mil o valor de TED e Pix

• ​Nenhuma instituição de pagamento poderá começar a operar sem prévia autorização

• Somente integrantes dos segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas.

• Aumenta os requisitos e controles para o credenciamento dos PSTI. Os requerimentos de governança e de gestão de riscos foram ampliados. Passa-se a exigir capital mínimo de R$15 milhões.

• O BC poderá requerer certificação técnica ou avaliação emitida por empresa qualificada independente que ateste o cumprimento dos requisitos autorizativos