/i.s3.glbimg.com/v1/AUTH_63b422c2caee4269b8b34177e8876b93/internal_photos/bs/2025/K/x/sE4NM0QL6QbmeZvxTBpg/arte08fin-101-bc-c1.jpg)
O esforço do Banco Central (BC) em apresentar medidas para reforçar a segurança do sistema financeiro após os recentes ataques hackers e o uso de fintechs pelo crime organizado vai além do pacote anunciado na sexta-feira. Para os próximos meses, o regulador prepara novidades para aprimorar das chamadas “contas-bolsão” e aumentar o capital mínimo requerido para instituições de pagamento (IPs). Após uma década fomentando a inovação e competição, nos últimos anos o BC passou a dar uma ênfase maior para a segurança do sistema, movimento que se acentua agora.
As medidas se dividem em duas frentes: contenção excepcional e antecipação de projetos que já estavam no radar do BC. No primeiro caso, se encaixa a limitação a R$ 15 mil por operação de TED ou Pix de IPs não autorizadas e para todas que se conectem à Rede do Sistema Financeiro Nacional (RSFN) via Prestadores de Serviços de Tecnologia da Informação (PSTIs).
As iniciativas foram bem recebidas pelo setor, e agora o debate recai sobre a dose do remédio.
Na avaliação de Ivo Mósca, diretor executivo de inovação, produtos e serviços bancários da Federação Brasileira de Bancos (Febraban), a agenda de inovação e abertura do BC foi importante para fomentar a competição e a inclusão financeiras, mas agora é preciso equilibrar a balança. “As réguas de entrada eram mais baixas, mas talvez houve um desbalanceamento entre a abertura e simplificação de processos com a questão da segurança. É um trabalho contínuo e, com as próximas etapas, vai se fechando o cerco, devolvendo a segurança para o sistema”, diz.
/i.s3.glbimg.com/v1/AUTH_63b422c2caee4269b8b34177e8876b93/internal_photos/bs/2025/z/l/iltGXwRTy3e8ZtP63LfA/arte08fin-102-bc-c1.jpg)
Eduardo Lopes, presidente da Zetta, associação que representa algumas das maiores fintechs, como Nubank e Mercado Pago, elogia as iniciativas, mas lembra que a questão da segurança precisa ser ponderada de forma a não estrangular a inovação. “Realmente é preciso endurecer as regras, até para garantir que o sistema como um todo não vai ser corrompido, o que colocaria tudo a perder, inclusive a capacidade de competição”. Para ele, não há nenhuma falha estrutural no sistema. “Chegou a hora de apertar alguns parafusos, mas é o custo do sucesso, não existe um problema de design no sistema.”
Para Larissa Arruy, sócia da área de bancos e serviços financeiros do escritório Mattos Filho, entre 2013 e 2022 o BC promoveu uma ampla agenda de inovação, e desde então vem fazendo ajustes para aprimorar a segurança. “Foi uma agenda de muito sucesso, criou um arcabouço propício à competição e a novos entretantes. Agora, não me parece desarrazoado que o BC queira fazer um balanço, entender os efeitos colaterais, espaços de melhorias, implementar as correções adequadas. Mas é claro que a dosimetria é importante para não pesar a mão e acabar com tudo o que ele construiu”, afirma.
O presidente do BC, Gabriel Galípolo, afirmou na sexta-feira que o teto de R$ 15 mil foi escolhido porque 99% das operações de pessoas jurídicas por TED ou Pix são abaixo desse valor. Segundo ele, o tamanho do “universo” das PSTIs e das instituições não autorizadas representa 3% do total de contas do sistema. “A gente está falando de 1% de 3%, também conhecido como 0,03%. A gente está em um universo restrito, mas qual é a intenção com isso? O que a gente assistiu é que em boa parte dessas tentativas de fraude que ocorreram, os volumes de transação de Pix e TED que tentaram fazer são bastante altos. Ao restringir o valor que é possível de ser feito, você vai forçar a necessidade, para fazer algum tipo de ataque, de uma repetição maior de operações, o que tende a ser capturado mais rápido [pelos filtros de segurança]”, disse.
As PSTIs são empresas autorizadas a fazer serviços de mensageria e troca de informações no sistema financeiro, facilitando a comunicação, inclusive com o BC, de instituições menores, por exemplo. Existem sete PSTIs ativos, sendo que dois, C&M e Sinqia, foram alvos de ataques hacker nos últimos meses.
O BC reforçou a proibição para que instituições de pagamento operem sem autorização prévia e encurtou o prazo para que instituições não autorizadas peçam autorização. Antes, o pedido era escalonado, a depender do volume de movimentação financeira, até dezembro de 2029; agora passou para maio de 2026.
Raphael Palmieri Salomão, sócio da área financeira de Pinheiro Neto Advogados, avalia que as medidas aumentam a segurança do sistema. Ele considera razoável o período de quatro meses para adaptação, até pela limitação de R$ 15 mil. “Enquanto as PSTIs têm que se capitalizar e rever sua estrutura de governança e de acesso de credenciais, o tráfego de informação ou operações de pagamento que são processadas por IPs que usam essas PSTIs vai estar limitado a esse valor”, diz. “Isso faz com que, neste momento de muita vulnerabilidade, o sistema esteja mais protegido. O BC conseguiu calibrar o período de adaptação, mas ao mesmo tempo proteger os consumidores e o sistema.”
O limite de R$ 15 mil, no entanto, pode ter impacto substancial para algumas fintechs que operam via PSTIs, segundo Vicente Piccoli Braga, sócio do FAS Advogados. “É uma limitação bastante forte para muitas instituições que operam com pessoa jurídica. Se ela recebe um ordem de R$ 30 mil do cliente, não pode fraccionar para caber dentro desse novo limite. Então, o cliente pode fazer uma leitura de que esse parceiro não é suficiente para ele. Isso é algo bastante complicado de ser implementado da noite para o dia”, diz.
Na entrevista em que explicou as medidas, Galípolo disse que o trabalho não se esgotava ali e novas ações seriam adotadas. Uma delas, que deve ser submetida à diretoria colegiada do BC em “um ou dois meses”, de acordo com o diretor de regulação, Gilneu Vivan, é a mudança no capital mínimo para instituições de pagamento.
De acordo com ele, o BC está mudando a lógica de definição do capital mínimo para instituições de pagamento: o critério era o tipo de instituição e passará a ser por tipo de atividade. “Ou seja, uma IP que faz dois, três tipos de atividade vai ter capital diferente de uma outra IP que fizer só um tipo”, disse o diretor, que também confirmou que o valor seria para algo em torno de R$ 7 milhões.
Outra mudança em que o BC está trabalhando é na regulação das contas-bolsão, em que recursos são depositados sem identificação. O Valor já vinha mostrando que esse era um dos problemas identificados pelo regulador. Vivan afirmou que a “conta-bolsão” é um nome genérico para diferentes tipos de prática e situações, algumas reguladas e outras que descumprem normativos ou são irregulares. “O que a gente está trabalhando é para conseguir separar e melhorar a tipificação e o reforço de restrição para o uso desse tipo de prática”, disse.
Rafael Abreu, da LexisNexis Risk Solutions, diz que o BC e a Receita Federal estão se alinhando cada vez mais com diretrizes globais sobre obrigações de reportes por instituições do sistema financeiro, com a coleta de dados colaborando na prevenção e combate à lavagem de dinheiro. “São regulações importantes para dar mais segurança e transparência para o sistema como um todo. Quando houve um crescimento tão forte do ecossistema de pagamentos no Brasil, isso chama atenção do crime organizado, que busca brechas para explorar potenciais vulnerabilidades.”
Para ele, outro ponto importante seria combater as chamadas contas-laranja, que são usadas para escoar o dinheiro desviado. Essa questão também é levantada por Mósca, da Febraban. “Enquanto não tivermos um tratamento para tirar essas contas do sistema, elas vão ser instrumentos de pulverização”, afirma. Conforme a Febraban, deveriam ser implementados limites para transações noturnas, independentemente do tipo de instituição que esteja fazendo. “Ninguém tem necessidade de movimentar volumes altíssimos durante a madrugada.”
O presidente da Febraban, Isaac Sidney, afirma que “as medidas anunciadas e as que estão por vir precisam ser capazes de permitir identificar e segregar quais agentes do sistema financeiro estão, ou não, a serviço do crime organizado”. Na mesma linha, o presidente da Associação Brasileira de Bancos (ABBC), Leandro Vilain, disse que o anúncio feito pelo BC é “um primeiro passo na direção correta”, mas há questões que ainda precisam ser enfrentadas.
A C&M Software informou, na sexta-feira, que implementará “de forma imediata” todas as determinações publicadas pelo BC com o compromisso de adaptar sistemas e processos com agilidade. Além disso, destacou que foi auditada pelo BC por 15 dias e contratou consultorias externas.
Já a Sinqia disse que iniciou os trabalhos necessários para assegurar a conformidade com as regras e afirmou que em breve estará “plenamente apta” a implementar os novos requisitos.
Fonte: Valor Econômico
