Banco Central anuncia medidas urgentes após ataques de hackers a bancos e fintechs: limite para Pix e TED de R$ 15 mil, novas regras para instituições de pagamento, exigência de capital mínimo e prazo antecipado para autorização

Nos últimos meses, o sistema financeiro brasileiro enfrentou uma série de ataques cibernéticos que acenderam o alerta máximo nas autoridades. Diante desse cenário, o Banco Central (BC) anunciou nesta sexta-feira (5) um conjunto de medidas emergenciais para reforçar a segurança das operações financeiras, em especial as realizadas por fintechs e instituições de pagamento que utilizam o Pix e a Rede do Sistema Financeiro Nacional.

O presidente do BC, Gabriel Galípolo, destacou em entrevista coletiva que os crimes são organizados e atingem tanto os grandes bancos quanto as startups financeiras sediadas na Avenida Faria Lima, em São Paulo.

Segundo ele, “fintechs e bancos tradicionais são vítimas do crime organizado. Ambas tiveram papel fundamental na inclusão financeira da população, mas agora precisam se adaptar a um novo nível de exigência em segurança”.

Principais medidas anunciadas pelo Banco Central

As novas regras têm vigência imediata e impactam tanto fintechs quanto empresas provedoras de tecnologia que fazem a ponte entre as instituições e o BC. Entre os principais pontos, estão:

1. Limite de R$ 15 mil para Pix e TED

Para instituições de pagamento não autorizadas e aquelas conectadas à Rede do Sistema Financeiro via Prestadores de Serviços de Tecnologia da Informação (PSTI), haverá um limite de R$ 15 mil por operação em transferências via Pix ou TED.

Esse teto poderá ser retirado quando os participantes comprovarem que atendem aos novos protocolos de segurança definidos pelo BC. Instituições que apresentarem a adoção de medidas robustas de proteção poderão ter dispensa da limitação por até 90 dias.

2. Antecipação do prazo para autorização

Nenhuma instituição de pagamento poderá iniciar atividades sem a autorização prévia do BC. Além disso, o prazo final para que empresas não autorizadas solicitem formalmente a permissão foi antecipado de dezembro de 2029 para maio de 2026.

Caso o pedido seja negado, a empresa deverá encerrar suas operações em até 30 dias.

3. Regras mais rígidas para o Pix

Apenas integrantes dos segmentos S1, S2, S3 e S4 – que representam instituições de maior porte – poderão atuar como responsáveis pelo Pix em nome de instituições de pagamento não autorizadas. Os contratos em vigor deverão ser ajustados em até 180 dias.

4. Exigência de capital mínimo para PSTI

Os Prestadores de Serviços de Tecnologia da Informação (PSTI), que conectam fintechs e bancos ao sistema do BC, agora terão que atender a novos padrões de governança, gestão de riscos e capital mínimo de R$ 15 milhões.

Empresas que não se adequarem estarão sujeitas a medidas cautelares ou até ao descredenciamento. O prazo de adaptação é de quatro meses.

5. Certificação independente

O BC também poderá exigir que as instituições apresentem certificação técnica ou avaliações de segurança emitidas por empresas independentes, comprovando o cumprimento dos requisitos estabelecidos.

O que motivou as medidas

As ações foram tomadas após uma série de ataques cibernéticos que afetaram fintechs e empresas de tecnologia ligadas ao sistema financeiro brasileiro. Em alguns casos, os prejuízos chegaram a centenas de milhões de reais.

• Monbank (setembro): sofreu um ataque que desviou R$ 4,9 milhões. A fintech informou que nenhuma conta de clientes foi comprometida e que conseguiu recuperar R$ 4,7 milhões.

• Sinqia (setembro): empresa responsável por conectar bancos ao Pix revelou que criminosos realizaram transações não autorizadas que somaram cerca de R$ 710 milhões.

• C&M Software (julho): provedora de tecnologia que conecta instituições ao BC também foi alvo de um ataque que comprometeu sua infraestrutura.

Esses episódios evidenciaram fragilidades em partes da cadeia de tecnologia que sustenta o sistema financeiro nacional, especialmente em empresas que atuam como intermediárias.

Impacto para fintechs e bancos

As medidas terão forte impacto no ecossistema de fintechs, que cresceu aceleradamente nos últimos anos ao oferecer serviços mais ágeis e digitais para milhões de brasileiros.

Com a exigência de capital mínimo de R$ 15 milhões para PSTI, muitas empresas de pequeno porte podem enfrentar dificuldades em se manter ativas. Além disso, a necessidade de certificações independentes e de maior controle regulatório deve aumentar os custos de operação.

Por outro lado, especialistas avaliam que o movimento traz mais segurança para clientes e fortalece a confiança no sistema financeiro.

O que muda para os clientes

Para os usuários de Pix e TED, a principal mudança imediata é a limitação de R$ 15 mil por operação em instituições de pagamento não autorizadas ou conectadas via PSTI.

Na prática, isso significa que transferências de valores maiores precisarão ser realizadas em etapas ou diretamente por bancos autorizados pelo Banco Central.

Já para quem usa apenas os grandes bancos ou fintechs autorizadas, a experiência deve permanecer inalterada.

Declarações do Banco Central

Durante a coletiva, o presidente do BC, Gabriel Galípolo, destacou que as medidas são uma resposta direta ao avanço do crime organizado.

“Não se trata de criminalizar fintechs ou inovações financeiras. Pelo contrário: elas foram essenciais para a inclusão financeira do Brasil. Mas diante dos ataques recentes, precisamos reforçar os mecanismos de proteção”, afirmou.

O Banco Central também ressaltou que continuará monitorando o ambiente de ameaças e que novas medidas poderão ser adotadas conforme a evolução do cenário.

Por que o Brasil é alvo de hackers

O sistema financeiro brasileiro é considerado um dos mais avançados do mundo em termos tecnológicos. O Pix, lançado em 2020, tornou-se referência global pela rapidez e inclusão. Em 2024, mais de 160 milhões de pessoas já haviam utilizado a ferramenta.

Esse sucesso, no entanto, também atraiu criminosos, que veem nas brechas de segurança uma oportunidade para grandes golpes. O uso de fintechs e intermediários tecnológicos ampliou a superfície de ataque, tornando necessário um reforço regulatório.

Especialistas avaliam as mudanças

Analistas de mercado afirmam que as medidas do BC podem gerar dois efeitos distintos:

1. Aumento da confiança dos clientes – Ao elevar os padrões de segurança, o Banco Central protege tanto o sistema financeiro quanto os usuários finais, evitando prejuízos de grande escala.

2. Consolidação do mercado – Pequenas empresas podem ter dificuldades em atender às exigências de capital e certificação, o que deve favorecer fintechs maiores e bancos já consolidados.

Para especialistas em cibersegurança, a iniciativa é positiva, mas precisa vir acompanhada de investimentos contínuos em monitoramento e inovação tecnológica.

Próximos passos

Com a entrada em vigor imediata das medidas, fintechs, bancos digitais e provedores de tecnologia terão que se mobilizar rapidamente para atender às novas exigências.

O prazo de adaptação para contratos do Pix é de 180 dias, enquanto os PSTI terão até quatro meses para comprovar a adequação às regras de capital e governança.

Já os pedidos de autorização junto ao BC precisam ser feitos até maio de 2026, sob pena de encerramento das atividades.