O que muda na prática
Depois de uma sequência de ataques cibernéticos a empresas do setor financeiro, o Banco Central apertou o cerco. A autarquia aprovou, em caráter imediato, um pacote que impõe teto de transferências no Pix e no TED para instituições de pagamento que ainda não têm autorização do BC e operam conectadas à Rede do Sistema Financeiro Nacional (RSFN) por meio de provedores de TI. O limite é de R$ 15 mil por operação.
Segundo Gabriel Galípolo, do Banco Central, o valor foi calibrado com base no padrão de uso: 99% das transações corporativas ficam abaixo desse patamar. Na prática, o BC diz que a ideia é aumentar o atrito para quem tenta desviar grandes somas em pouco tempo — marca típica de ataques — sem travar a rotina de empresas que movimentam valores menores.
O alvo não são bancos ou fintechs devidamente licenciados. A medida mira arranjos que operam no ecossistema financeiro via terceirização tecnológica, sem autorização formal. Ou seja, se uma empresa usa um provedor de TI para acessar a infraestrutura do SFN, mas não tem licença do BC, qualquer transferência via Pix ou TED feita por essa instituição ficará restrita ao teto de R$ 15 mil.
Exemplo simples: um marketplace que faz seus pagamentos por meio de um parceiro tecnológico conectado à RSFN, mas sem autorização do BC, terá de fracionar repasses acima do limite. O objetivo é tornar a vida do fraudador mais difícil — ações que dependem de grandes transferências passam a exigir várias operações menores, o que eleva a chance de detecção por mecanismos de monitoramento.
Junto com o teto, o Banco Central apertou outra porta: nenhuma instituição de pagamento poderá operar sem autorização prévia. O cronograma para regularização foi encurtado de forma drástica. Quem planejava pedir licença até dezembro de 2029 agora terá de resolver isso até maio de 2026. É uma mudança de rota que traz pressa para boa parte do mercado.
Impactos, riscos e próximos passos
Para empresas e fintechs que ainda estão no processo de licenciamento, a mensagem é clara: antecipar a conformidade. A autorização do BC exige governança, capital compatível, controles de prevenção à lavagem de dinheiro, trilhas de auditoria e planos de continuidade de negócio. Tudo isso demanda tempo, equipe e investimento. A partir de agora, atrasar esse movimento significa operar com limites rígidos e sob maior escrutínio.
Do lado do cliente final, o efeito deve ser pequeno. Pessoas físicas e empresas que usam bancos e instituições autorizadas não têm mudanças no dia a dia. O teto vale para instituições não autorizadas conectadas por provedores de TI. Ou seja, pagamentos comuns a fornecedores, folha e boletos processados por bancos licenciados seguem como antes. Onde pode haver impacto é em modelos B2B que dependem de parceiros tecnológicos sem licença para executar grandes repasses de uma vez.
O foco no teto para TED e Pix tem lógica operacional. Grandes desfalques em ataques costumam acontecer por janelas curtas, com ordens de alto valor. Ao forçar a fragmentação, o sistema ganha tempo e multiplica os pontos de checagem: sistemas antifraude, análise de padrão, limites por conta, validações de identidade e bloqueios preventivos passam a ter mais oportunidades de agir. Na leitura do BC, a medida mira o crime organizado, não a atividade legítima de pagamento.
Para quem precisa se adequar, algumas frentes são inadiáveis:
- Mapear todas as conexões com provedores de TI que acessam a RSFN e identificar onde há operações sem autorização do BC.
- Revisar contratos e SLAs com terceiros, exigindo trilhas de auditoria, segregação de ambientes e padrões robustos de segurança.
- Redesenhar fluxos de pagamento de alto valor para que passem por instituições autorizadas ou por estruturas já licenciadas.
- Reforçar regras de antifraude e detecção de anomalias para lidar com o aumento de transações fracionadas.
- Protocolar o pedido de autorização antes de maio de 2026, com plano de capital, governança e testes de continuidade.
- Definir plano de contingência para operações críticas que hoje dependem de parceiros não autorizados.
A restrição não é um convite a burlar o sistema com “pente fino” de transferências divididas. Os sistemas de monitoramento rastreiam padrões, e a fragmentação em cascata tende a acender alertas. Embora o teto permita transações, a repetição atípica com mesmo destino, CPF/CNPJ e horário concentrado pode levar a travas e revisões manuais.
O cronograma antecipado muda o jogo para startups de pagamento e plataformas que nasceram com parceiros de tecnologia “white label”. Esse modelo trouxe rapidez ao mercado, mas, com o avanço dos ataques, o BC reduz a tolerância a pontos fracos na cadeia. Para seguir crescendo, a rota é a autorização plena ou a migração para operadores já licenciados.
O Brasil virou referência em pagamentos instantâneos e, com isso, também atração para fraudadores. O pacote anunciado coloca mais uma barreira na superfície de ataque. Há custo de adaptação? Sim. Mas o regulador aposta que o ganho em resiliência compensa. As próximas semanas devem trazer ajustes de mercado, com empresas reorganizando parcerias, limites e fluxos. O BC, por sua vez, deve acompanhar volumes e padrões de fraude para calibrar, se preciso, a régua de segurança.
Escreva um comentário