Home   |   Sem categoria   |   O “Dia D” do Banco Central contra organizações criminosas e hackers

O “Dia D” do Banco Central contra organizações criminosas e hackers

Por Luciano Fantin – 6/9/25

Fonte: BBC News Brasil – https://www.bbc.com/portuguese/internacional-48526108

 

Dia D, em 6 de junho de 1944, foi o maior desembarque militar da história, quando os Aliados chegaram às praias da Normandia, na França, para enfrentar as tropas da Alemanha nazista.

A operação abriu caminho para a libertação da França e marcou o início da derrota de Hitler na Segunda Guerra Mundial. Apesar das muitas baixas, o Dia D ficou conhecido como o início do fim da guerra na Europa.

Nesse último dia 5/9/25, o Banco Central do Brasil promoveu seu desembarque nas praias da Normandia (ou no Lago Paranoá), contra as forças do crime organizado e digital.

Foram editadas cinco Resoluções que visam reforçar o ambiente de serviços de pagamento no Brasil, que têm sofrido ataques de várias frentes nos tempos recentes, sejam de facções criminosas ou mesmo de hackers, pondo em risco a confiança alcançada pelo enorme sucesso das fintechs, assim como do próprio Pix (e até mesmo o antigo TED).

Há determinações relevantes tanto para IPs (ainda não autorizadas ou que já oferecem o Pix) quanto para Provedores de Serviços de Tecnologia da Informação (PSTIs).

Neste artigo, tentaremos resumir cada uma delas e explicar o que está mudando, assim como oferecermos nossa opinião sobre esses fatos.

Autorização para funcionamento das IPs (Resoluções BCB 494 e 495 de 5/9/25)

As IPs emissoras de moeda eletrônica ainda não autorizadas contavam com uma fase de transição, desde março de 2021, que se baseava em volumes de saldos de moeda eletrônica emitida e de transações de pagamento efetuadas. Essa transição previa volumes decrescentes, até 31/12/28. Quando alcançados esses volumes, a instituição era obrigada a pedir autorização em até 90 dias. Se não alcançasse os volumes até lá, o prazo para pedido de autorização era 31/3/29.

A referida fase de transição foi agora extinta.

As IPs ainda não autorizadas e que estavam em operação antes de 3/21 deverão instruir processo de autorização durante o mês de maio de 2026.

As IPs emissoras de instrumento pós-pago e as credenciadoras só precisavam pedir autorização para funcionamento quando atingissem R$ 500 milhões de transações de pagamento nos últimos 12 meses.

A referida regra baseada em volumetria foi agora extinta.

Assim como no caso das IPs emissoras de moeda eletrônica que estavam em fase de transição, as emissoras de instrumento pós-pago e as credenciadoras ainda não autorizadas deverão instruir processo de autorização também durante o mês de maio de 2026.

Para uma melhor visualização, segue uma imagem ilustrativa:

Atenção: A instituição que não solicitar autorização até o final do prazo ou que o fizer com erro, somente poderá funcionar por 30 dias (após 31/5/26 ou após 30 dias da notificação do BCB).

Em relação às questões formais do processo de autorização de IPs (Res. BCB 81/21), foi incluída uma nova exigência, em seu artigo 2º, que trata do fornecimento do endereço das instalações físicas da sede da instituição.

O endereço deve ser de uso efetivo e exclusivo da IP, sendo vedada a indicação de endereço de coworking, de escritório virtual ou de outro espaço compartilhado como sede da instituição, exceto no caso de instituições que integrem o mesmo conglomerado.

Isso passa inclusive a valer para as IPs já autorizadas ou aquelas que já protocolizaram pedido de autorização.

Mudanças no Pix e TED (Res. BCB 496 e 497 de 5/9/25)

Ofertantes do Pix

De acordo com a Resolução do BCB 429/24, desde 1/1/25, somente as IPs autorizadas podem oferecer o Pix.

Em relação a esse tema, recomendo a leitura do artigo em https://www.thesharpfintech.com/a-partir-de-1-1-25-somente-instituicoes-de-pagamento-autorizadas-poderao-oferecer-pix/

Houve, porém, regras de transição em 2024 para IPs não autorizadas que:

  1. Já eram participantes do Pix;
  2. Estavam em processo de adesão ao Pix;
  3. Apresentaram pleito de adesão ao Pix até 31/12/24.

De acordo com uma das situações acima, a IP deveria solicitar autorização ao BCB em determinadas datas, conforme segue:

  1. até 31 de março de 2025, para as instituições de pagamento que aderiram ao Pix até 31 de dezembro de 2022;
  2. entre 1º de abril de 2025 e 31 de dezembro de 2025, para as instituições de pagamento que aderiram ao Pix entre 1º de janeiro de 2023 e 30 de junho de 2024; e
  3. entre 1º de janeiro de 2026 e 31 de dezembro de 2026, para as demais instituições de pagamento que sejam participantes do Pix ou estejam em processo de adesão ao Pix.

Em relação a esse último grupo, o BCB reduziu agora a data final a 31/5/26.

Participantes responsáveis por outra instituição no Pix

O BCB também trouxe novidades em relação às instituições que desejam atuar como participante responsável.

A partir de agora, qualifica-se para atuar como participante responsável o participante do Pix que

  1. se enquadre nas modalidades provedor de conta transacional ou liquidante especial;
  2. seja participante direto do SPI;
  3. seja integrante dos segmentos 1 – S1, 2 – S2, 3 – S3 ou 4 – S4
  4. não seja confederação de serviços ou cooperativa de crédito

A novidade são os itens c) e d). Ou seja, aqueles optantes pela metodologia facultativa simplificada para apuração do requerimento mínimo de Patrimônio de Referência Simplificado (PRS5), assim como confederação de serviços ou cooperativa de crédito não poderão se qualificar como participante responsável.

Em relação a essas novas exigências, elas entram em vigor em 180 dias, a partir de 5/9/25.

Limite de R$ 15 mil para Pix

Conforme já era estabelecido, os participantes do Pix somente podem estabelecer limites de valor para as transações baseados em critérios de mitigação de riscos de fraude e de infração à regulação de PLD/FTP.

Agora, as IPs não autorizadas a funcionar pelo BCB e que sejam participantes do Pix, ou um participante do Pix que se conecta à Rede do Sistema Financeiro Nacional – RSFN por intermédio de um Provedor de Serviços de Tecnologia da Informação – PSTI, devem realizar transações de, no máximo, R$15 mil. Para mais detalhes sobre a nova regulamentação sobre PSTIs veja tópico adiante.

Esse limite pode não se aplicar quando o participante do Pix:

  • Acessar a RSFN por meio de um PSTI que tenha concluído o processo de credenciamento no BCB e
  • Demonstrar, por meio de relatório de asseguração razoável emitido por empresa de auditoria independente registrada na Comissão de Valores Mobiliários – CVM, que:
  1. não compartilha com o PSTI as chaves privadas cadastradas no BCB utilizadas para a assinatura das mensagens no âmbito do Pix;
  2. valida a integridade das transações antes da assinatura, assegurando que os dados não tenham sido corrompidos ou manipulados durante o processo de geração da mensagem;
  3. utiliza certificados distintos para ambientes diferentes (homologação e produção, por exemplo) para o Pix; e
  4. adota certificados separados para assinatura de mensagens e para o estabelecimento de canal no Pix.

Transferência Eletrônica Disponível – TED

Assim como no caso do Pix descrito acima, a TED a favor de cliente de valor igual ou superior a R$15 mil não poderá ser emitida por instituição que se conecta à RSFN por meio de PSTI.

Da mesma forma, o limite não se aplica quando a instituição:

  • Acessar a RSFN por meio de um PSTI que tenha concluído o processo de credenciamento no Banco Central do Brasil, nos termos da regulamentação em vigor; e
  • Demonstrar, por meio de relatório de asseguração razoável emitido por empresa de auditoria independente registrada na CVM, que:
  1. não compartilha com o PSTI as chaves privadas cadastradas no Banco Central do Brasil utilizadas para a assinatura das mensagens;
  2. valida a integridade das transações antes da assinatura, assegurando que os dados não tenham sido corrompidos ou manipulados durante o processo de geração da mensagem; e
  3. utiliza certificados distintos para ambientes diferentes.

 

 

Pix e TED: casos de dispensa de imposição de limite

Mediante solicitação do participante, o BCB poderá dispensar, pelo prazo de 90 dias ou até que sejam atendidas as exigências acima, o que ocorrer primeiro, a observância do referido limite para Pix e TED.

As condições para isso, porém, são:

  1. o pedido seja instruído com documento formal que apresente as garantias e a descrição das medidas já adotadas pela instituição para o aprimoramento de seus controles de segurança da informação; e
  2. as garantias e as medidas de que trata o tópico anterior sejam, a critério do BCB, adequadas para mitigar os riscos envolvidos.

Novas exigências para o Provedor de Serviços de Tecnologia da Informação – PSTI (Res. BCB 498 de 5/9/25)

PSTIs são entidades autorizadas a prestar serviços de processamento de dados, para fins de acesso à RSFN, a instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

O BCB, por meio dessa nova Resolução, estabeleceu os requisitos, os procedimentos e as condições para o credenciamento de PSTIs. Segundo a norma, o credenciamento não configura autorização para o funcionamento da atividade econômica de PSTI, tampouco altera os deveres legais e contratuais do PSTI perante seus clientes e parceiros.

Não obstante isso, resta claro que as exigências explicitadas e bem detalhadas se aproximam daquelas existentes quando se fala na autorização de instituições financeiras e demais instituições autorizadas pelo BCB.

Até então, o tema de PSTIs era tratado de maneira mais principiológica, na Circular 3970/19, que basicamente estabeleceu os critérios gerais de comunicação eletrônica de dados no âmbito do SFN, e dispôs sobre os requisitos e as vedações aplicáveis ao PSTI, contudo sem entrar no nível de detalhes ora descritos, tampouco em critérios prudenciais e de risco exigidos dos PSTIs, como veremos adiante.

O que o BCB está exigindo dos PSTIs (aspectos selecionados)

  • Credenciamento por meio de adesão a princípio e regras da RSFN;
  • Comprovações de regular constituição e não existência de vedações;
  • Capacidade técnico-operacional para prestar os serviços de processamento de dados, para fins de acesso à RSFN;
  • Designação de diretor ou diretores responsáveis por funções críticas (ver detalhamento adiante);
  • Requisitos reputacionais, técnicos e creditícios da pessoa natural controladora ou integre grupo de controle do PSTI, direta ou indiretamente, ou exerça função de administrador;
  • Comprovação de capital social realizado e de patrimônio líquido no valor mínimo de R$15 milhões (com discricionariedade do BCB);
  • Comprovação de capacidade técnico-operacional para prestação de informações ao BCB;
  • Certificação de segurança da informação em norma reconhecida internacionalmente, ou asseguração independente aceita pelo BCB;
  • Comprovação da contratação de auditoria externa anual independente em segurança da informação e, quando aplicável, em PLD/FTP, com envio dos relatórios ao BCB e às instituições contratantes;
  • Comprovação da contratação de seguro de responsabilidade civil e de riscos operacionais, com cobertura mínima definida pelo BCB, incluindo incidentes de fraude e segurança cibernética;
  • Plano de Continuidade de Negócios e de testes periódicos de contingência, com comprovação anual ao BCB.

O PSTI deve comprovar anualmente, na forma e na data estipuladas pelo Banco Central do Brasil, que permanecem atendidos os requisitos descritos acima.

O BCB poderá promover o descredenciamento do PSTI quando verificar, a qualquer tempo, o descumprimento grave ou recorrente dos requisitos estabelecidos em norma.

O PSTI deve:

  • Implementar estrutura de governança corporativa compatível com sua natureza, porte, complexidade, estrutura e perfil de risco;
  • Instituir, no âmbito da alta administração, no mínimo:
    • Diretor de Segurança da Informação e Cibernética, responsável pela implementação de políticas de cibersegurança e pela gestão de incidentes operacionais;
    • Diretor de Riscos e Compliance, responsável pela supervisão da conformidade regulatória e pela efetividade dos controles internos;
    • Diretor responsável pelo relacionamento com o BCB, responsável pela prestação de informações e interlocução regulatória;
    • Diretor responsável pela gestão de crises operacionais e pela coordenação do Comitê de Gestão de Crises Operacionais.
  • Implementar um Comitê de Gestão de Crises Operacionais;
  • Estabelecer políticas de gestão de riscos compatíveis com sua natureza, porte, complexidade, estrutura e perfil de risco, amparadas nos princípios e nas melhores práticas de mercado, no mínimo endereçando:
    • Segurança da informação e cibernética;
    • Continuidade de negócios;
    • Gestão de crises operacionais;
    • Gestão de fraudes;
    • Controles internos e conformidade;
    • Auditoria interna.
  • O PSTI passa a ter que prestar as seguintes informações ao BCB:
    • Demonstrações financeiras anuais, auditadas por empresa de auditoria independente registrada na CVM;
    • Certificação técnica;
    • Quaisquer alterações do quadro societário da instituição, na estrutura de controle ou na composição de seus administradores, no prazo de até dez dias contados da ocorrência;
    • Incidentes operacionais ou de segurança da informação que possam comprometer a integridade, a disponibilidade ou a confidencialidade dos serviços prestados, imediatamente após a ciência da ocorrência, acompanhados de relatório no prazo de até dez dias;
    • Alterações relevantes da arquitetura de serviços ou do ambiente computacional do PSTI;
    • Início ou encerramento de relacionamento com instituições financeiras e demais instituições supervisionadas pelo BCB;
    • Início de provimento de outros serviços de processamento de dados;
    • Informações necessárias para o monitoramento da regular operação do PSTI;
    • Relatórios anuais de auditoria interna e, quando houver, de auditoria externa independente, contemplando os principais achados, os planos de ação e o acompanhamento das correções;
    • Relatório de auditoria externa independente, emitido por empresa registrada na CVM, atestando o atendimento integral, pelo PSTI, de todos os procedimentos e requisitos previstos em norma e nos instrumentos normativos da RSFN, a ser apresentado ao BCB com periodicidade anual.

O BCB poderá adotar medidas cautelares no caso de inobservância dessas novas normas, como imposição de limites operacionais restritivos, suspensão da conexão à RSFN, suspensão de serviço específico, exigência de reforço nos quadros, auditorias específicas, exigência de plano de ação corretivo, restrição à contratação de novos clientes e até mesmo plano de saída ordenada.

Para acessar a RSFN por meio de PSTI, as instituições financeiras e demais instituições supervisionadas pelo BCB devem contratar serviços de PSTI devidamente credenciado – o pedido de credenciamento pelo PSTI deve ocorrer em até quatro meses após a entrada em vigor dessas novas normas.

Nesse aspecto, o BCB exige das instituições contratantes, sob risco de sanções, supervisão e vigilância, tais como:

  • Assegurar que os contratos celebrados com o PSTI contemplem as obrigações estabelecidas em norma;
  • Monitorar continuamente a adequação do PSTI contratado aos requisitos de governança corporativa, gestão de riscos, segurança cibernética, gestão de fraudes e continuidade de negócios;
  • Implementar controles de segurança estabelecidos pelo PSTI para utilização dos serviços a serem providos;
  • Manter a posse das suas chaves privadas utilizadas para a assinatura das mensagens e validar a integridade das transações previamente à assinatura, assegurando que os dados não tenham sido corrompidos ou manipulados durante o processo de geração da mensagem;
  • Não utilizar o mesmo certificado entre ambientes, como homologação e produção, e função, como assinatura de mensagens e estabelecimento de canal do Pix;
  • Manter à disposição do BCB a documentação relativa à contratação, monitoramento e supervisão do PSTI, inclusive relatórios de auditoria e de testes de continuidade;
  • Comunicar de imediato ao BCB quaisquer falhas relevantes ou descumprimentos identificados na atuação do PSTI contratado.

O PSTI em funcionamento em 5/9/25 deve promover as adaptações necessárias à adequação da política da segurança da informação e cibernética e da política de gestão de fraudes, nos termos de cronograma a ser publicado pelo Banco Central do Brasil.

O cumprimento de cada uma das fases previstas no referido cronograma deve ser confirmado por relatório de asseguração razoável, emitido por empresa de auditoria externa independente registrada na CVM, atestando o atendimento integral, pelo PSTI, aos procedimentos e requisitos previstos na fase correspondente

O BCB apresenta em seu site a seguinte situação relativa aos PSTIs (https://www.bcb.gov.br/estabilidadefinanceira/comunicacaodados, acesso em 6/9/25):

PSTI ativos:

PSTI Homologados:

A visão do Banco Central do Brasil

Em entrevista coletiva do BCB realizada à imprensa em 5/9/25, tanto o Presidente Gabriel Galípolo quanto demais diretores explicaram o racional das novas medidas. Procuramos mencionar aqui alguns tópicos.

Houve uma percepção de repetições e determinados padrões de conduta criminosa que ensejaram essa resposta rápida. Há mais medidas a serem adotadas, inclusive prevendo o aumento do capital mínimo das IPs, que deverão ainda ser editadas em 2025.

As medidas que estão sendo adotadas agora passam por uma contenção excepcional (limites e prazos) e por antecipação de agenda normativa, que já estava prevista.

Em relação aos PSTIs, na medida que as instituições em geral aumentaram no seu uso, como prestadores de serviço, terceirizando as atividades de conexão ao SFN, elas passaram a crescer em relevância, como infraestruturas críticas para o mercado. Apesar de não estarem sob a égide de autorização do BCB, houve a necessidade, até pela importância adquirida, da ampliação do rol de exigências para seu credenciamento, inclusive com relação ao seu capital. Há, atualmente, cerca de 250 instituições que acessam a RSFN através de PSTIs.

Em relação ao limite adotado de R$ 15 mil por transação daquelas instituições não autorizadas ou que utilizam um PSTI, o próprio sistema do BCB irá impedir (“travar”) operações que superem esse limite. Ou seja, não é algo apenas normativo, a ser cumprido, mas será sistemicamente barrado pela autarquia.

Conclusões

Não resta dúvida que o BCB adotou uma série de medidas importantes para reforçar o ambiente de segurança do SFN.

O foco são as instituições de pagamento não autorizadas, inclusive ofertantes de Pix e TED, os participantes responsáveis que proveem acesso ao Pix, e os PSTIs.

Não foram poucos os casos recentes acompanhados pela imprensa, envolvendo organizações criminosas e hackers, causando prejuízos vultosos e abalando a confiança de nosso SFN. O BCB demonstra uma resposta importante, em seu papel de vigilância.

Toda e qualquer nova tecnologia sempre será testada pelo crime, muitas vezes se aproveitando de lacunas ou deficiências. Cabe ao regulador e supervisor ir aperfeiçoando o ambiente à medida que isso ocorre, de maneira tempestiva.

É muito saudável que não tenhamos mais instituições não autorizadas operando no mercado, assim como regras mais substanciais para empresas tão relevantes como os PSTIs. Isso tudo contribui positivamente para o fortalecimento de nossas instituições.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


O período de verificação do reCAPTCHA expirou. Por favor, recarregue a página.

Para o topo






    Estou de acordo com a Política de Privacidade do site (link abaixo do formulário)

    *Campos Obrigatórios
    Conheça nossa Política de Privacidade, onde descrevemos como são tratados os dados enviados por você.