Diante do aumento da atuação do crime organizado em ataques a instituições financeiras e de pagamentos, o Banco Central (BC) anunciou, nesta semana, um pacote de medidas para reforçar a segurança do Sistema Financeiro Nacional.
Entre as novas regras, está o limite de R$ 15 mil para operações via TED e Pix realizadas por instituições de pagamento não autorizadas ou conectadas ao sistema por meio de Prestadores de Serviços de Tecnologia da Informação (PSTI). Esse teto poderá ser retirado após a comprovação de adoção dos novos processos de segurança. De forma transitória, participantes que atestarem boas práticas de segurança da informação poderão ser dispensados da restrição por até 90 dias. A determinação já está em vigor.
Outra mudança relevante é que nenhuma instituição de pagamento poderá iniciar atividades sem prévia autorização do BC. Além disso, o prazo final para que empresas não autorizadas solicitem regularização foi antecipado de dezembro de 2029 para maio de 2026.
Os controles também foram reforçados no Pix: apenas instituições integrantes dos segmentos S1, S2, S3 ou S4 — exceto cooperativas — poderão assumir a responsabilidade pelo serviço em nome de instituições de pagamento ainda não autorizadas. Os contratos já existentes deverão ser adequados no prazo máximo de 180 dias.
O Banco Central também poderá exigir certificação técnica independente para confirmar o cumprimento das exigências autorizativas. Caso o pedido de autorização de uma instituição já em atividade seja negado, ela terá até 30 dias para encerrar as operações.
Em relação aos PSTI, as exigências de governança e gestão de riscos foram ampliadas. Passa a ser obrigatório um capital mínimo de R$ 15 milhões para o credenciamento. Empresas que descumprirem as regras estarão sujeitas a medidas cautelares ou até mesmo ao descredenciamento. O prazo para adequação das empresas em atividade é de quatro meses.