Após recentes ciberataques que resultaram em desvios de centenas de milhões de reais, o Banco Central (BC) estabeleceu novas regras para instituições de pagamento (IPs) não autorizadas e Provedores de Serviços de Tecnologia da Informação (PSTIs). A principal medida é a limitação de R$ 15 mil para transações via Pix e TED para esses tipos de instituições.
Com isso, essas IPs e empresas que trabalham com PSTIs deverão respeitar o teto de R$ 15 mil nas transações até que cumpram os novos processos de segurança. Dados do BC mostram que 99% das transações de pessoa jurídica via Pix ficam abaixo desse valor, que diminui para R$ 3,6 mil entre pessoas físicas.
As novas diretrizes também estipulam que nenhuma instituição de pagamento pode operar sem autorização prévia do BC, e o prazo para que instituições ainda não autorizadas solicitem autorização foi antecipado de dezembro de 2029 maio do próximo ano. As regras passaram a valer imediatamente e serão formalmente publicadas às 18h desta sexta-feira, 5, e no Diário Oficial às 21h.
Gabriel Galípolo, presidente do Banco Central, enfatizou que estas medidas têm como objetivo combater o crime organizado. ‘Os ataques visavam roubar dinheiro de instituições, não de clientes. O ambiente financeiro não tolera margens para falhas de segurança’, afirmou em coletiva de imprensa.
Ele também observou que foram identificados padrões repetidos nos ataques, o que levou o BC a implementar o que considerou ‘medidas excepcionais’. A avaliação é de que o limite de transações garante segurança, visto que as instituições que se enquadram nessa situação representam apenas 3% do total de contas, e as transações acima de R$ 15 mil correspondem a apenas 1% do total.
Além do teto para o Pix, o BC passou a exigir um capital mínimo de R$ 15 milhões para PSTIs e avalia casos individuais para IPs, que deverão ter um capital na faixa de R$ 7 milhões. O descumprimento dessas regras resultará em sanções e até descredenciamento.
Instituições já em funcionamento que tiverem pedido de autorização negado devem encerrar suas atividades em até 30 dias. Galípolo ainda se manifestou contra associações inadequadas entre Faria Lima e crime organizado, ressaltando que esse setor, incluindo bancos tradicionais e fintechs, é alvo do crime e não cúmplice.
Por fim, o BC considerou que as novas normas também visam aumentar a governança e a segurança dentro das instituições financeiras, para impedir futuros ataques cibernéticos e proteger o sistema financeiro.