Banco Central excluirá 31 empresas do Pix após reforçar segurança

O BC (Banco Central) pode excluir até 31 instituições financeiras do Pix caso elas não se adaptem às mudanças exigidas pela autoridade monetária em relação aos seus intermediários até o ano que vem. A informação foi divulgada no material do último Fórum Pix, realizado em 4 de dezembro. Eis a íntegra (PDF – 4,4 MB).

As instituições que precisam se adequar são aquelas que não possuem autorização do BC e que, por isso, não têm acesso direto ao SPI (Sistema de Pagamentos Instantâneos). Conhecidas como participantes indiretas do Pix, elas dependem de uma instituição intermediária para realizar a liquidação de suas transações.

Em setembro, o BC publicou uma resolução que atualiza os critérios para empresas que desejam atuar como responsáveis no Pix por instituições de pagamento não autorizadas.

De acordo com a exposição de motivos, o objetivo é garantir que “apenas instituições com maior capacidade de gestão e controle” assumam essa função. Com isso, entidades como cooperativas de crédito deixaram de poder desempenhar esse papel.

O BC informou que 39 instituições não autorizadas já firmaram contratos com intermediários que atendem às novas exigências e, portanto, estão em conformidade. Outras 31, porém, têm até 4 de março de 2026 para substituir seu responsável. Caso não concluam a troca dentro do prazo, serão excluídas do Pix.

A medida faz parte de um movimento mais amplo para reforçar a segurança do SFN (Sistema Financeiro Nacional), após uma onda de ataques cibernéticos. Reportagem do Estadão/Broadcast revelou que, no ano passado, fraudes envolvendo o Pix resultaram em perdas de R$ 4,941 bilhões, segundo dados do BC –alta de 70% em relação a 2023, quando o total perdido foi de R$ 2,911 bilhões.

Em 2024, os ataques continuaram, com os sistemas de (PSTIs) Provedores de Serviços de Tecnologia da Informação entre os principais alvos. Em julho, mais de R$ 800 milhões foram desviados depois da cooptação de um funcionário da C&M, empresa que faz a ponte entre instituições e o SPI. O caso mais grave foi o do banco BMP, que sofreu prejuízo de R$ 479 milhões.

Em setembro, a Sinqia, que também conecta instituições ao sistema financeiro, foi vítima de outro ataque que desviou R$ 710 milhões, dos quais R$ 583 milhões foram bloqueados pelo BC. A principal afetada nesse episódio foi o HSBC.

Regulamento PIX 

Segundo normas publicadas pelo BC na Resolução de Regulamento do Pix, as instituições devem seguir as seguintes normas:  

• Pix por aproximação (modelo online): Inserção do novo tipo de iniciação no Regulamento do Pix, com padronização da forma de comunicação entre dispositivos com tecnologia NFC (Near Field Communication).
• Pix Automático: Ajuste nas regras para aprimorar os mecanismos de segurança: procedimentos de adoção obrigatória ou recomendada para redução do risco de fraude.
• Cobrança híbrida: Inserção no Regulamento do Pix da possibilidade de pagamento, por meio do QR Code do Pix, de uma cobrança que também apresenta a possibilidade de pagamento por meio do arranjo de boleto.
• Instituições não autorizadas a funcionar pelo BC: Aumento das exigências: aplicação dos recursos mantidos em contas de pagamento.
• MED 2.0: Aprimoramento do MED (Mecanismo Especial de Devolução) para permitir o rastreamento das transações fraudulentas, com possibilidade de bloqueio e de devolução de recursos a partir de contas receptoras de transações iniciadas pela conta originalmente utilizada para o cometimento da fraude.
• Pix Parcelado: Criação de um novo produto, que possibilitará a tomada de crédito pelo usuário pagador para permitir o parcelamento de uma transação Pix, com o usuário recebedor recebendo o valor total da transação instantaneamente e padronizando a experiência do usuário no processo de parcelamento.
• Aprimoramento dos mecanismos de segurança: Tópicos discutidos no âmbito da agenda permanente de trabalho do GE-Seg (Grupo Estratégico de Segurança do Pix).
• Participantes responsáveis: Aumento das exigências para desempenho da função.