BC limita a R$ 15 mil valor de TED e Pix para instituições que usam empresas de serviços de tecnologia

Sob pressão após ataques hackers que provocaram desvios milionários de recursos e infiltração do crime organizado na economia, o Banco Central anunciou nesta sexta-feira (5) um conjunto de medidas para endurecer as regras aplicadas às instituições e reforçar a segurança do sistema financeiro nacional.

Entre as novas regras, estabelece um limite de R$ 15 mil no valor das operações de TED e Pix para instituições de pagamento não autorizadas pelo regulador e para as que se conectam ao sistema financeiro por meio das chamadas PSTIs (Prestadores de Serviços de Tecnologia da Informação). As transações que excederem esse teto serão travadas pelo próprio sistema do BC.

"Faria Lima ou fintechs são as vítimas do crime organizado", afirmou Gabriel Galípolo, presidente do BC, no detalhamento das medidas a jornalistas, em Brasília. "Elas [medidas] são contra o crime organizado, não contra qualquer tipo de instituição ou segmento", acrescentou.

Segundo o BC, as medidas entrarão em vigor imediatamente. A publicação da norma com as novas regras está prevista para ocorrer ainda nesta sexta.

"Transitoriamente, os participantes que atestarem a adoção de controles de segurança da informação poderão ser dispensados da limitação por até 90 dias", disse a autoridade monetária em nota, sinalizando que essa é uma medida de caráter excepcional.

De acordo com Galípolo, 99% das transações feitas por pessoas jurídicas via Pix ou TED estão abaixo do valor limite de R$ 15 mil. "Se fosse falar de pessoas físicas, esse valor seria de R$ 3.700, então, a gente tem uma folga bastante boa. Apenas 1% de pessoa jurídica se encaixa acima desse valor de R$ 15 mil", afirmou. Segundo ele, o tamanho do universo de contas atingidas representa 3% do total do sistema.

"Ao restringir o valor que é possível de ser feito, vai forçar a necessidade, para fazer algum tipo de ataque, uma repetição de operações maior, o que tende a ser capturado mais rápido esse indicativo de movimento", disse o presidente do BC.

A autarquia também anunciou o aumento dos requisitos e controles para o credenciamento dos prestadores de serviços de tecnologia, ampliando os requerimentos de governança e de gestão de riscos. O BC passou a exigir capital mínimo de R$ 15 milhões. Até então, não havia exigência de valor para esse tipo de empresa. Hoje, cerca de 250 instituições acessam o ecossistema do BC por meio delas.

"O descumprimento estará sujeito à aplicação de medidas cautelares ou até ao descredenciamento. A norma entra em vigor imediatamente e os PSTI em atividade têm até quatro meses para se adequarem", disse o BC em nota.

O Banco Central definiu ainda que nenhuma instituição de pagamento poderá começar a operar sem prévia autorização. Com isso, o prazo final para que instituições de pagamento não autorizadas solicitem aval para funcionamento foi antecipado de dezembro de 2029 para maio do ano que vem.

Atualmente, aguardam autorização do BC 72 instituições de pagamento e mais 70 instituições de outras categorias. O regulador tem expectativa de receber requerimentos de mais 14 instituições de pagamento ainda neste ano e outros 76 pedidos desse tipo de instituição no ano que vem.

A instituição de pagamento que já estiver prestando serviços e tenha seu pedido de autorização negado deverá encerrar suas atividades em até 30 dias, conforme determinação da autoridade monetária.

Na última semana, um ataque cibernético desviou R$ 710 milhões da empresa Sinqia, que conecta instituições financeiras ao sistema Pix. Nesse caso, mais de 80% dos recursos desviados foram recuperados. O episódio se soma ao ataque bilionário que atingiu a C&M Software, ocorrido em 30 de junho. Um terceiro caso foi registrado recentemente, envolvendo a fintech gaúcha Monbank.

O aperfeiçoamento da segurança do sistema financeiro ganhou mais urgência depois que operações da Polícia Federal e do Ministério Público de São Paulo, realizadas em agosto, miraram a infiltração do PCC (Primeiro Comando da Capital) na cadeia produtiva do setor de combustíveis e do mercado financeiro.

As investigações afirmaram que, para movimentar e ocultar o dinheiro ilícito, o PCC desenvolveu uma estrutura financeira complexa e profissional, envolvendo utilização de corretoras, administradoras de diferentes tipos de fundos de investimento e fintechs.

Também participaram do anúncio das medidas os diretores Izabela Correa (Relacionamento, Cidadania e Supervisão de Conduta) e Gilneu Vivan (Regulação), além do secretário-executivo do BC, Rogério Lucca.

Segundo Galípolo, diante dos recentes acontecimentos, o BC optou por antecipar medidas que já estavam mais maduras em vez de aguardar até que todo o pacote estivesse pronto. Ele prometeu um anúncio em breve de outras iniciativas que também vão na direção de reforçar a segurança do sistema financeiro.

O BC está debruçado, por exemplo, sobre a regulação de contas-bolsão depois que investigações mostraram que facções criminosas se aproveitaram desse instrumento para ocultação de bens, lavagem de dinheiro e evasão fiscal.

Contas-bolsão são contas correntes abertas por fintechs de pequeno porte, que não têm acesso ao sistema brasileiro de pagamentos, em bancos tradicionais e outras instituições de pagamento.

"Algumas dessas práticas são reguladas, outras são ou descumprimento normativo ou atos irregulares. O que a gente está trabalhando é para conseguir separar e melhorar a tipificação e o reforço de restrição para o uso desse tipo de prática", afirmou o diretor de Regulação do BC.

A regulamentação envolvendo criptoativos e BaaS (Banking as a Service) também está sendo trabalhada pela diretoria do Banco Central. "Estamos em fase final de conclusão dessas minutas e elas devem sair ao longo dos próximos meses", acrescentou Vivan.

Outra medida que está sendo desenhada é uma alteração na exigência de capital mínimo de instituições de pagamento, que passaria para algo em torno de R$ 7 milhões -o valor atual não foi informado. A ideia, segundo o diretor do BC, é que o montante exigido deixe de ser associado ao tipo de instituição e passe a corresponder às atividades ofertadas por ela.

De acordo com Galípolo, as medidas anunciadas levaram em consideração a capacidade operacional da instituição. "A gente acaba tendo um remanejamento de pessoas para forças-tarefas como essa, o que acaba não permitindo que a gente consiga fazer simultaneamente as entregas que a gente gostaria de inovação junto com algumas medidas que a gente está adotando agora", disse.

Ele também voltou a defender a atualização do arcabouço institucional pretendida pela PEC (proposta de emenda à Constituição) que dá autonomia financeira e orçamentária à autoridade monetária e fez um aceno ao ministro da Fazenda, Fernando Haddad, pela manifestação de apoio à autonomia do BC.

Após o anúncio das mudanças, a Abranet (Associação Brasileira de Internet) manifestou apoio às medidas, dizendo que "preservam a inovação, a cidadania financeira e a competição no ainda concentrado sistema financeiro no Brasil."

"A Abranet considera que o maior rigor na regulação e fiscalização de prestadores de serviços de tecnologia financeira, a definição de tetos para movimentações via Pix, o combate às fraudes, entre outros, ajudam a manter a confiança dos usuários para que continuem usufruindo dos ganhos expressivos trazidos com a competição e inovação no sistema de pagamentos, a exemplo das contas digitais gratuitas e popularização do Pix", afirmou a entidade em nota.