O Banco Central (BC) divulgou nesta sexta-feira (5/9) uma série de iniciativas visando aumentar a segurança do Sistema Financeiro Nacional (SFN). A medida surge em resposta à atuação do crime organizado em fintechs e instituições de pagamento.
Entre as ações, o BC impôs um limite de até R$ 15 mil para transações via TED e Pix feitas por algumas instituições de pagamento não autorizadas ou que se conectam ao SFN através de prestadores de serviços de tecnologia da informação. Essa regra entrou em vigor imediatamente.
Para valores superiores a R$ 15 mil, essas instituições e seus prestadores de serviços deverão realizar múltiplas transações.
Segundo o Banco Central, essa restrição poderá ser levantada quando o participante e seu prestador de serviços cumprirem os novos protocolos de segurança. Além disso, instituições que comprovarem a implementação eficaz de controles de segurança da informação podem ser isentas dessa limitação por até 90 dias.
Outra determinação do BC é que nenhuma instituição de pagamento poderá operar sem autorização prévia do banco. O prazo para que instituições não autorizadas solicitem essa permissão foi antecipado de dezembro de 2029 para maio de 2026.
O BC também estabeleceu controles rigorosos para as instituições de pagamento, permitindo que apenas membros dos segmentos S1, S2, S3 ou S4 — exceto cooperativas — atuem como responsáveis pelo Pix dessas instituições. Contratos existentes devem ser adequados em até 180 dias.
Além disso, o Banco Central poderá exigir certificação técnica ou avaliação por empresa independente para validar o cumprimento das exigências. Caso o pedido de autorização seja negado, a instituição deverá encerrar suas operações em até 30 dias, e a regra já está vigente.
Por fim, os requisitos para credenciamento dos prestadores de serviços de tecnologia da informação foram reforçados, exigindo governança adequada e gestão dos riscos ampliada. Também foi definido capital mínimo de R$ 15 milhões para esses prestadores. O não cumprimento dessas normas poderá levar a medidas cautelares ou descredenciamento.
Essas novas regras já entraram em vigor, e os prestadores de serviços têm até quatro meses para se adequar.