BC limita valor de TED e Pix para instituições que usam serviços de tecnologia

BRASÍLIA - Sob pressão após ataques hackers que provocaram desvios milionários de recursos e infiltração do crime organizado na economia, o Banco Central anunciou nesta sexta-feira (5) um conjunto de medidas para endurecer as regras aplicadas às instituições e reforçar a segurança do sistema financeiro nacional.

Entre as novas regras, estabelece um limite de R$ 15 mil no valor das operações de TED e Pix para instituições de pagamento não autorizadas pelo regulador e para as que se conectam ao sistema financeiro por meio das chamadas PSTIs (Prestadores de Serviços de Tecnologia da Informação).

"Faria Lima ou fintechs são as vítimas do crime organizado", afirmou Gabriel Galípolo, presidente do BC, na apresentação das medidas em Brasília. "Elas são contra o crime organizado, não contra qualquer tipo de instituição ou segmento", acrescentou.

Segundo o BC, essa medida entrará em vigor imediatamente. "Transitoriamente, os participantes que atestarem a adoção de controles de segurança da informação poderão ser dispensados da limitação por até 90 dias", disse a autoridade monetária em nota.

De acordo com Galípolo, 99% das transações feitas por pessoas jurídicas via Pix ou TED estão abaixo do valor limite de R$ 15 mil. "Se fosse falar de pessoas físicas, esse valor seria de R$ 3.700, então, a gente tem uma folga bastante boa. Apenas 1% de pessoa jurídica se encaixa acima desse valor de R$ 15 mil", afirmou. Segundo ele, o tamanho do universo de contas atingidas representa 3% do total do sistema.

"Ao restringir o valor que é possível de ser feito, vai forçar a necessidade, para fazer algum tipo de ataque, uma repetição de operações maior, o que tende a ser capturado mais rápido esse indicativo de movimento", disse o presidente do BC.

A autarquia também anunciou o aumento dos requisitos e controles para o credenciamento dos prestadores de serviços de tecnologia, ampliando os requerimentos de governança e de gestão de riscos. O BC passou a exigir capital mínimo de R$ 15 milhões. Até então, não havia exigência de valor.

"O descumprimento estará sujeito à aplicação de medidas cautelares ou até ao descredenciamento. A norma entra em vigor imediatamente e os PSTI em atividade têm até quatro meses para se adequarem", disse.

O BC definiu ainda que nenhuma instituição de pagamento poderá começar a operar sem prévia autorização. Com isso, o prazo final para que instituições de pagamento não autorizadas solicitem aval para funcionamento foi antecipado de dezembro de 2029 para maio do ano que vem.

Na última semana, um ataque cibernético desviou R$ 710 milhões da empresa Sinqia, que conecta instituições financeiras ao sistema Pix. Nesse caso, mais de 80% dos recursos desviados foram recuperados. O episódio se soma ao ataque bilionário que atingiu a C&M Software, ocorrido em 30 de junho. Um terceiro caso foi registrado recentemente, envolvendo a fintech gaúcha Monbank.

O aperfeiçoamento da segurança do sistema financeiro ganhou mais urgência depois que operações da Polícia Federal e do Ministério Público de São Paulo, realizadas em agosto, miraram a infiltração do PCC (Primeiro Comando da Capital) na cadeia produtiva do setor de combustíveis e do mercado financeiro.

As investigações afirmaram que, para movimentar e ocultar o dinheiro ilícito, o PCC desenvolveu uma estrutura financeira complexa e profissional, envolvendo utilização de corretoras, administradoras de diferentes tipos de fundos de investimento e fintechs.

Também participaram do anúncio os diretores Izabela Correa (Relacionamento, Cidadania e Supervisão de Conduta) e Gilneu Vivan (Regulação), além do secretário-executivo da autoridade monetária, Rogério Lucca.