O Banco Central (BC) anunciou nesta sexta-feira, 5, a imposição de um limite de R$ 15 mil para transferências dos tipos TED e Pix realizadas por meio de duas categorias específicas de instituições: as instituições de pagamento ainda não autorizadas a operar pelo BC e aquelas que se conectam ao Sistema Financeiro Nacional por intermédio de Prestadores de Serviços de Tecnologia da Informação (PSTIs). A medida tem vigência imediata.
De acordo com comunicado da autarquia, o objetivo da limitação é reforçar a segurança do Sistema Financeiro Nacional (SFN). O BC informou que o limite poderá ser removido para aqueles participantes e seus respectivos PSTIs que cumprirem novos processos de controle de segurança estabelecidos pela autoridade monetária.
De forma provisória, instituições que atestarem a adoção de controles robustos de segurança da informação poderão ser dispensadas do limite por um período máximo de 90 dias.
A medida foi tomada “à luz do envolvimento do crime organizado nos recentes eventos de ataques a instituições financeiras e de pagamentos”, conforme stated pelo Banco Central.
Antecipação de Prazo e Novas Regras para Autorização
Em conjunto com a limitação de valores, o BC antecipou significativamente o prazo final para que instituições de pagamento não autorizadas solicitem sua autorização de funcionamento. O novo deadline foi movido de dezembro de 2029 para maio de 2026. A autarquia reforçou que nenhuma instituição de pagamento pode iniciar suas operações sem esta prévia autorização.
Foram introduzidos controles adicionais para o ecossistema. A partir de agora, apenas instituições integrantes dos segmentos S1, S2, S3 ou S4 – com exceção de cooperativas – poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. Os contratos vigentes terão um prazo de 180 dias para se adequarem a essa nova regra.
O BC também se reservou o direito de solicitar certificação técnica ou avaliação emitida por empresa qualificada independente para atestar o cumprimento dos requisitos autorizativos. Instituições que já estiverem operando e tiverem seu pedido de autorização negado serão obrigadas a encerrar suas atividades em um prazo máximo de 30 dias. Esta determinação também entra em vigor imediatamente.
Endurecimento de Regras para PSTIs
O Banco Central também anunciou o endurecimento dos requisitos de governança e gestão de riscos para os Prestadores de Serviços de Tecnologia da Informação (PSTIs), empresas autorizadas a fornecer serviços de processamento de dados para instituições financeiras.
Passa a ser exigido um capital mínimo de R$ 15 milhões para essas empresas. O descumprimento das novas normas sujeitará os PSTIs à aplicação de medidas cautelares ou até ao descredenciamento. As empresas em atividade terão um prazo de quatro meses para se adequarem às novas regras.
Este movimento ocorre em um contexto em que duas PSTIs – C&M Software e Sinqia – estiveram no centro de ataques cibernéticos nas últimas semanas, conforme noticiado pelo mercado.
A medida já era esperada pelo sistema financeiro. Conforme havia adiantado o Broadcast, sistema de notícias em tempo real do Grupo Estado, o BC busca fechar o cerco às fintechs, com especial preocupação com fraudes neste segmento e naquelas que operam com o modelo de banking as a service (BaaS).
Com informações da Agência Estado, Por Marianna Gualter e Cícero Cotrim.
