Após ataques ao sistema financeiro, o BC (Banco Central) anunciou nesta 6ª feira (5.set.2025) que as instituições prestadoras de serviços de TI (Tecnologia da Informação) terão um limite de R$ 15.000 em valor de TED (Transferência Eletrônica Disponível) e Pix. Eis a íntegra do comunicado (PDF – 90 kB).
As PSTI (Prestadora de Serviços de Tecnologia da Informação) terão esse limite quando não se adequarem aos novos processos de controle e segurança. O limite de R$ 15.000 em movimentação será revogado por até 90 dias se atestarem a adoção de práticas obrigatórias que entram em vigor imediatamente.
O presidente do BC, Gabriel Galípolo, disse que 99% das movimentações das PJ (pessoas jurídicas) ficam abaixo de R$ 15.000. Para PF (pessoa física), a média é de R$ 3.500. O objetivo é fazer com que o Banco Central tenha controle sobre o limite de recursos que possam ser alvos de ataques de hackers.
A medida vale para instituições de pagamento não autorizadas e as que se conectam ao sistema financeiro via PSTI. Nenhuma instituição de pagamento poderá operar sem prévia autorização.
O Banco Central também antecipou de dezembro 2029 para o meio de 2026 o prazo para que as instituições de pagamento se adequassem para obter a autorização regulatória da autoridade monetária.
Outra mudança é um controle adicional às instituições de pagamento. Somente integrantes dos segmentos a seguir poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas:
- S1 – bancos com porte maior ou igual a 10% do PIB (Produto Interno Bruto);
- S2 – instituições e conglomerados com porte de 1% a 10% do PIB;
- S3 – instituições e conglomerados com porte de 0,1% a 1% do PIB;
- S4 – instituições e conglomerados com porte inferior a 0,1% do PIB, que não sejam cooperativas.
Assista ao anúncio:
As novas normas do BC deixam de fora as instituições e conglomerados não bancários com perfil “de risco simplificado”. Elas têm metodologia facultativa simplificada para apuração dos requerimentos mínimos prudenciais.
Introduz controles adicionais às instituições de pagamento. Somente integrantes dos segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. Os contratos vigentes deverão ser adequados em até cento e oitenta dias
Leia a íntegra da nota:
“À luz do envolvimento do crime organizado nos recentes eventos de ataques a instituições financeiras e de pagamentos, o Banco Central anuncia medidas para reforçar a segurança do Sistema Financeiro.
“Para instituições de pagamento não autorizadas e as que se conectam à Rede do Sistema Financeiro Nacional via Prestadores de Serviços de Tecnologia da Informação (PSTI) fica limitado em R$ 15 mil o valor de TED e Pix. A limitação poderá ser removida quando o participante e seu respectivo PSTI atenderem aos novos processos de controle de segurança. Transitoriamente, os participantes que atestarem a adoção de controles de segurança da informação poderão ser dispensados da limitação por até 90 dias. A medida entra em vigor imediatamente.
“Nenhuma instituição de pagamento poderá começar a operar sem prévia autorização. Além disso, o prazo final para que instituições de pagamento não autorizadas a funcionar pelo BC solicitem autorização para funcionamento é antecipado de dezembro de 2029 para maio do ano que vem.
“Introduz controles adicionais às instituições de pagamento. Somente integrantes dos segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. Os contratos vigentes deverão ser adequados em até cento e oitenta dias.
“O BC poderá requerer certificação técnica ou avaliação emitida por empresa qualificada independente que ateste o cumprimento dos requisitos autorizativos. A instituição de pagamento que já estiver prestando serviços e tenha seu pedido de autorização indeferido deverá encerrar suas atividades em até 30 dias. A vigência da medida é imediata.
“Aumenta os requisitos e controles para o credenciamento dos PSTI. Os requerimentos de governança e de gestão de riscos foram ampliados. Passa-se a exigir capital mínimo de R$15 milhões. O descumprimento estará sujeito à aplicação de medidas cautelares ou até ao descredenciamento. A norma entra em vigor imediatamente e os PSTI em atividade têm até quatro meses para se adequarem”.
ATAQUES AO SISTEMA FINANCEIRO
As medidas anunciadas nesta 6ª feira (5.set.2025) foram adotadas depois dos últimos casos de fragilidade no sistema financeiro. O 1º caso emblemático foi em 2 de julho deste ano, quando o BC detectou uma invasão contra a C&M Software, uma prestadora de serviço de tecnologia –empresa que não é regulamentada pela autoridade monetária.
A Polícia Civil de São Paulo prendeu no dia seguinte ao caso, em 3 de julho, João Nazareno Roque, ex-funcionário da empresa que teria contribuído para desvios de R$ 800 milhões de 8 instituições financeiras. A Justiça de São Paulo decretou em 11 de julho a prisão preventiva do técnico de TI.
Em 1º de setembro, novas instituições foram alvo de invasão, incluindo o banco HSBC Brasil e a sociedade de crédito Artta. Os criminosos desviaram, pelo menos, R$ 710 milhões. A fragilidade do sistema teria ocorrido na Sinqia Digital, que também é uma fintech –empresa que presta serviços de tecnologia para o setor financeiro– não regulada pelo Banco Central.
Tanto a C&M Software quanto a Sinqia Digital são empresas prestadoras de serviços que não são regulamentadas pelo Banco Central. Apesar disso, são mantidas pelas instituições financeiras junto ao BC para liquidar operações no SPB (Sistema de Pagamentos Brasileiro), como o Pix.
As transações irregulares foram realizadas por meio da exploração de credenciais legítimas de fornecedores de TI. Na 3ª feira (2.set.2025), a Sinqia afirma que encerrou o acesso dessas credenciais e que não há indícios de comprometimento de dados pessoais.
O Banco Central defende que a infraestrutura do sistema de pagamento instantâneo não foi impactado e segue segura. Além disso, a autoridade monetária afirma que o volume desviado não afetou os clientes bancários, somente as contas reservas das instituições que contrataram as prestadoras de serviços.
Outras tentativas de invasão foram registradas nos últimos dias, mesmo que em outros moldes. O Poder360 apurou que o Santander Brasil foi alvo de ataque hacker na tarde de 5ª feira (4.set.2025). Ação consistiu em um grande volume de consultas simultâneas por meio de QR Code de Pix que resultou em instabilidade e interrupção de serviços. Não houve desvio de recursos nem acesso a dados. A este jornal digital, o banco informou que “atuou com sucesso para bloquear os acessos indevidos e reportou o fato às autoridades”.