Após ataques em série ao sistema do Pix e o envolvimento de facções criminosas com esses eventos, o Banco Central anunciou, nesta sexta-feira (5), medidas para o fortalecimento da segurança das transações do sistema financeiro nacional (SFN).

A iniciativa não traz modificações estruturais e tecnológicas para o sistema, mas aposta em padrões mais rígidos de limites operacionais, além de análise mais detalhada sobre as instituições e prestadores de serviço vinculados ao sistema.

As medidas serão publicadas às 18h. Uma delas é a fixação de um valor limite de R$ 15 mil para Pix e TED, válido apenas para transações feitas por instituições de pagamento não autorizadas e as que se conectam à rede do sistema financeiro nacional via prestadores de serviços de tecnologia da informação (PSTI). Até então não havia limite.

Participaram do anúncio o presidente do Banco Central, Gabriel Galípolo, e os diretores de Relacionamento, Cidadania e Supervisão de Conduta, Izabela Correa, e de Regulação, Gilneu Vivan.

Galípolo afirmou que as medidas são um primeiro passo diante da excepcionalidade da situação, mas que outras medidas estão sendo estudadas e serão futuramente adotadas e anunciadas.

“Você nunca consegue zerar a possibilidade [de ataques]”, disse o presidente do BC. “Este é um processo em que a gente vai estar continuamente anunciando novas medidas. Dada a excepcionalidade da situação que estamos passando, vimos que era mais interessante e benéfico já soltar aquelas medidas que a gente tem maturidade, confiança para soltar”, complementou.

As medidas foram adotadas após a identificação das vulnerabilidades dos agentes que foram alvo dos últimos ataques hackers: provedores de serviços de tecnologia da informação (PSTI), iniciadores de transações de pagamentos (ITPs) e até mesmo as instituições de pagamento (IPs) que ainda não têm licença do regulador financeiro.

Desde julho, foram quatro ataques que se valeram do sistema do Pix, sendo que em três deles houve desvio de recursos:

• 2 de julho: ataque ao sistema de mensageria do Pix da C&M, com desvio estimado em mais de R$ 1 bilhão;
• 29 de agosto: ataque ao sistema de mensageria do Pix da Sinqia, com desvio estimado em R$ 710 milhões;
• 2 de setembro: ataque ao sistema de mensageria do Pix e do TED da Monetarie, com desvio de R$ 4,9 milhões;
• 4 de setembro: ataque ao sistema de mensageria do Pix de uma fintech (o nome não foi revelado), sem evidência de desvios ou roubo de dados.

As medidas do BC para fortalecer segurança do Pix e do sistema financeiro

Veja a seguir a lista das medidas anunciadas pelo Banco Central para robustecer a segurança do sistema financeiro nacional:

Limite de R$ 15 mil para TED e Pix

A regra vale para instituições de pagamento não autorizadas e as que se conectam à rede do sistema financeiro nacional via prestadores de serviços de tecnologia da informação (PSTI).

Segundo o Banco Central, a limitação poderá ser removida quando a instituição participante e seu respectivo PSTI atenderem aos novos processos de controle de segurança.

No prazo de 90 dias, os participantes que atestarem a adoção de controles de segurança da informação poderão ser dispensados dessa limitação. A medida entra em vigor imediatamente.

Ao todo, de acordo com o BC, 72 instituições de pagamento já protocolaram pedido de autorização e há a previsão de que outras 14 peçam ainda este ano para serem autorizadas pela autoridade monetária. Para o próximo ano, a expectativa é de que outras 76 protocolem o pedido de autorização.

Além das instituições de pagamento, outras 70 também já protocolaram autorização do BC para atuar no sistema financeiro.  

Antecipação do prazo para instituições obterem autorização de funcionamento

A partir desta sexta, não será possível para nenhuma instituição de pagamento iniciar suas operações sem autorização prévia do Banco Central. O prazo final para que instituições de pagamento não autorizadas a funcionar pelo BC solicitem autorização para funcionamento foi antecipado de dezembro de 2029 para maio de 2026.

Controles adicionais para instituições de pagamento

Integrantes dos segmentos S1 (grandes instituições financeiras), S2 (bancos de médio porte), S3 e S4 (instituições de menor porte) que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. O BC estipulou o prazo de 180 dias para a atualização dos contratos vigentes.

Avaliação de empresa independente

Com o anúncio, o Banco Central poderá requerer certificações técnicas ou avaliações emitidas por empresas qualificadas independentes, com o objetivo de atestar o cumprimento dos requisitos autorizativos das instituições integrantes do sistema financeiro nacional.

A instituição de pagamento que já estiver prestando serviços e tiver seu pedido de autorização indeferido deverá encerrar suas atividades em até 30 dias. A medida tem vigência imediata.

Aumento de requisitos e controles para credenciar os PSTIs

A partir de agora, os prestadores de serviços de tecnologia da informação (PSTI) precisam ter capital mínimo de R$ 15 milhões para serem credenciados ao sistema financeiro nacional. Atualmente, não é exigido nenhum capital mínimo para o credenciamento.

O descumprimento desta medida poderá resultar na aplicação de medidas cautelares ou até mesmo no descredenciamento do prestador do sistema. A norma tem efeitos imediatos, sendo que os PSTIs já em atividade têm até quatro meses para se adequarem à nova regra.

Enquanto a adequação não for atendida, os PSTIs deverão operar dentro do limite de R$ 15 mil para transações de TED e Pix.