Depois dos ataques hackers, Banco Central endurece regras e limita Pix e TED em R$ 15 mil para instituições de pagamentos (IPs)
Medida entra em vigor imediatamente. Autoridade Monetária também disse que o prazo final para que IPs não autorizadas a funcionar pelo BC solicitem autorização para funcionamento é antecipado de dezembro de 2029 para maio de 2026.
Após três ataques hackers contra o sistema financeiro nos últimos dois meses e uma megaoperação da Polícia Federal que mostrou indícios de infiltração do crime organizado em instituições de pagamentos e gestoras de fundos, o Banco Central anunciou nesta sexta-feira uma série de medidas para ampliar a segurança para fintechs. Para instituições de pagamento (IPs) não autorizadas e as que se conectam à rede do Sistema Financeiro Nacional (SFN) via Prestadores de Serviços de Tecnologia da Informação (PSTI), fica limitado em R$ 15 mil o valor de TED e Pix.
Segundo o BC, a limitação poderá ser removida quando o participante e seu respectivo PSTI atenderem aos novos processos de controle de segurança. Transitoriamente, os participantes que atestarem a adoção de controles de segurança da informação poderão ser dispensados da limitação por até 90 dias. A medida entra em vigor imediatamente.
O BC reforçou ainda que nenhuma instituição de pagamento poderá começar a operar sem prévia autorização. Além disso, o prazo final para que IPs não autorizadas a funcionar pelo BC solicitem autorização para funcionamento é antecipado de dezembro de 2029 para maio de 2026.
As novas regras introduzem controles adicionais às instituições de pagamento. Somente integrantes dos segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. “Os contratos vigentes deverão ser adequados em até 180 dias”, diz o BC.
O regulador afirmou ainda que poderá requerer certificação técnica ou avaliação emitida por empresa qualificada independente que ateste o cumprimento dos requisitos autorizativos. “A instituição de pagamento que já estiver prestando serviços e tenha seu pedido de autorização indeferido deverá encerrar suas atividades em até 30 dias.”
No caso das PSTIs, os requerimentos de governança e de gestão de riscos foram ampliados. Passa-se a exigir capital mínimo de R$ 15 milhões. Segundo o BC, o descumprimento estará sujeito à aplicação de medidas cautelares ou até ao descredenciamento. A norma entra em vigor imediatamente e os PSTIs em atividade têm até 120 dias para se adequarem.
