BC limita Pix e TED a R$ 15 mil para instituições de pagamento não autorizadas; veja novas regras
Na tentativa de reforçar segurança, autarquia também endureceu requisitos de governança e de gestão de riscos para os Prestadores de Serviços de Tecnologia da Informação (PSTI)
BRASÍLIA - O Banco Central limitou em R$ 15 mil o valor de TED e Pix para instituições de pagamento não autorizadas e para as que se conectam à Rede do Sistema Financeiro Nacional via Prestadores de Serviços de Tecnologia da Informação (PSTI). A medida foi anunciada nesta sexta-feira, 5, para reforçar a segurança do Sistema Financeiro Nacional (SFN).
Ela entra em vigor imediatamente. Segundo o BC, a limitação poderá ser removida quando o participante e seu respectivo PSTI atenderem a novos processos de controle de segurança. Além disso, de forma provisória, poderão ser dispensados da limitação por até 90 dias participantes que atestarem a adoção de controles de segurança da informação.
O presidente do Banco Central, Gabriel Galípolo, afirmou que a restrição a R$ 15 mil considerou que 99% das transações de PJ estão abaixo desse valor. Ele ponderou que o universo englobado pela classificação de PSTI e de contas de instituições de pagamentos não autorizadas é restrito, representando apenas 3% do total de contas existentes no sistema, mas que esse foi o foco das medidas devido ao perfil das tentativas de fraude recentes.
Segundo Galípolo, em boa parte delas, os volumes envolvidos foram elevados, tanto de Pix quanto de TED. Assim, ao restringir o valor, o efeito será forçar para que, ao realizar algum tipo de ataque, seja necessário fazer uma repetição maior de operações, o que tende a ser capturado mais rápido pelo indicativo de movimento.
O presidente da autarquia enfatizou que essa restrição permanecerá até que ocorra a adequação das instituições aos processos de segurança. Pontuou, no entanto, que há a possibilidade de concessão de autorizações transitórias para algumas situações, desde que seja assinado um termo com o BC, no qual comprove que adotou medidas de governança e de segurança para operar transitoriamente e seja justificada a necessidade.
Galípolo ressaltou que a contenção é uma medida excepcional, devido à repetição de padrão nos ataques registrados recentemente.
O presidente do Banco Central afirmou que o reforço à segurança do SFN é um processo contínuo e que pretende anunciar novas medidas em breve.
"Já temos algumas que estamos estudando aqui de maneira bastante profunda, escolhemos a excepcionalidade da situação que estamos passando no País, que era mais interessante e benéfico já soltar aquelas medidas que temos maturidade e confiança para soltar", disse, em referência aos ataques recentes a instituições financeiras.
Galípolo disse que a autarquia deve lançar medidas de segurança voltadas a coibir o uso de contas-laranja ao longo deste ano. Elas não fazem parte do conjunto de ações lançadas nesta sexta-feira, ele explicou.
"A gente pretende também endereçar medidas que são relacionadas a isso, que vão estar entre essas novas medidas que a gente pretende, inclusive, fazer ao longo desse ano", disse. O diretor de Regulação, Gilneu Vivan, explicou que há um desafio de tipificar adequadamente esse tipo de conta.
Galípolo acrescentou que o SFN está completamente hígido, e que não há riscos à sua estabilidade. Ele destacou que nenhuma ação será uma "panaceia" contra os ataques do crime organizado, e que é necessário ter um trabalho contínuo.
Indagado, o banqueiro central afirmou que devem ser tomadas ações para melhorar as condições de trabalho do Conselho de Controle de Atividades Financeiras (Coaf), subordinado ao BC e responsável por combater a lavagem de dinheiro e o terrorismo. Ele explicou que a autonomia orçamentária e financeira do BC poderia garantir mais condições ao órgão.
Controles adicionais
Em nota, a autarquia informa que nenhuma instituição de pagamento poderá começar a operar sem prévia autorização, e antecipa o prazo final para que instituições de pagamento não autorizadas a operar pelo BC solicitem a autorização de funcionamento, de dezembro de 2029 para maio de 2026.
Também foram introduzidos controles adicionais às instituições de pagamento. Com as mudanças, somente integrantes dos segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. Os contratos vigentes deverão ser adequados em até 180 dias.
Além disso, o BC poderá solicitar a certificação técnica ou avaliação emitida por empresa qualificada independente que ateste o cumprimento dos requisitos autorizativos. Instituições de pagamento que já estiverem prestando serviços e tenham seu pedido de autorização indeferido deverão encerrar suas atividades em até 30 dias, afirma a autarquia. Essa medida também tem vigência imediata.
O BC também endureceu os requisitos de governança e de gestão de riscos para os Prestadores de Serviços de Tecnologia da Informação (PSTI), entidades autorizadas a fornecer serviços de processamento de dados para instituições financeiras. Duas PSTIs — C&M Software e Sinqia — estiveram no centro de ataques hacker nas últimas semanas.
Passa-se a exigir capital mínimo de R$ 15 milhões para essas empresas. O descumprimento estará sujeito à aplicação de medidas cautelares ou até ao descredenciamento. A norma entra em vigor imediatamente e os PSTI em atividade têm até quatro meses para se adequar.
As medidas ocorrem "à luz do envolvimento do crime organizado nos recentes eventos de ataques a instituições financeiras e de pagamentos", diz o BC. O movimento já era esperado.
Como mostrou o Estadão/Broadcast, o BC está buscando fechar o cerco às fintechs, com uma nova regulamentação. A preocupação é com fraudes nesse tipo de instituição, além das que operam com o banking as a service (BaaS).
