BC limita em R$ 15 mil valor de Pix e TED para instituições de pagamento não autorizadas

O Banco Central limitou em R$ 15 mil o valor de TED e Pix para instituições de pagamento não autorizadas e para as que se conectam à Rede do Sistema Financeiro Nacional via Prestadores de Serviços de Tecnologia da Informação (PSTI). A medida foi anunciada nesta sexta-feira, 5, e tem como objetivo reforçar a segurança do Sistema Financeiro Nacional (SFN).

Ela entra em vigor imediatamente. Segundo o BC, a limitação poderá ser removida quando o participante e seu respectivo PSTI atenderem a novos processos de controle de segurança. Além disso, de forma provisória, poderão ser dispensados da limitação por até 90 dias participantes que atestarem a adoção de controles de segurança da informação.

Em entrevista coletiva, o presidente do Banco Central, Gabriel Galípolo, afirmou que os ataques de “hackers” a instituições financeiras foram feitos pelo crime organizado.

“Antigamente, quando tinha assalto a um carro forte, ou a um banco, ficava mais evidente porque você via fisicamente. Agora como a coisa ficou virtual, mais opaco, se confunde um pouquinho e leva a esse receio. O tema da segurança não há margem para ter qualquer tipo de tolerância”, disse.

Segundo Galípolo, as fintechs e os grandes bancos também acabam sendo “vítimas” das organizações criminosas.
“Faria lima ou ‘fintechs’ são as vítimas do crime organizado. Tanto os bancos incumbentes, quando os novos entrantes no mercado, foram responsáveis por uma inclusão fantástica no sistema financeiro e facilitação de serviços [à população]. Isso é essencial para que o Brasil tenha uma posição privilegiada que tem hoje no sistema financeiro”, acrescentou o presidente do BC.

Em nota, a autarquia informa que nenhuma instituição de pagamento poderá começar a operar sem prévia autorização, e antecipa o prazo final para que instituições de pagamento não autorizadas a funcionar pelo BC solicitem a autorização de funcionamento, de dezembro de 2029 para maio de 2026.

Também foram introduzidos controles adicionais às instituições de pagamento. Com as mudanças, somente integrantes dos segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. Os contratos vigentes deverão ser adequados em até 180 dias.

Além disso, o BC poderá solicitar a certificação técnica ou avaliação emitida por empresa qualificada independente que ateste o cumprimento dos requisitos autorizativos. Instituições de pagamento que já estiverem prestando serviços e tenham seu pedido de autorização indeferido deverão encerrar suas atividades em até 30 dias, afirma a autarquia. Essa medida também tem vigência imediata.

O BC também endureceu os requisitos de governança e de gestão de riscos para os Prestadores de Serviços de Tecnologia da Informação (PSTI), entidades autorizadas a fornecer serviços de processamento de dados para instituições financeiras. Duas PSTIs – C&M Software e Sinqia – estiveram no centro de ataques hacker nas últimas semanas.

Passa-se a exigir capital mínimo de R$ 15 milhões para essas empresas. O descumprimento estará sujeito à aplicação de medidas cautelares ou até ao descredenciamento. A norma entra em vigor imediatamente e os PSTI em atividade têm até quatro meses para se adequarem.

As medidas ocorrem “à luz do envolvimento do crime organizado nos recentes eventos de ataques a instituições financeiras e de pagamentos”, diz o BC. O movimento já era esperado.