Banco Central publica normas para reforçar segurança do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro

O Banco Central do Brasil (BCB) publicou, em 05 de setembro de 2025, um conjunto de medidas para reforçar a segurança do Sistema Financeiro Nacional (SFN). As medidas visam estabelecer critérios excepcionais de segurança e governança, além de antecipar exigências que, até então, não se aplicavam às instituições de pagamento não autorizadas, conforme detalhamos abaixo.

Mudanças no regulamento do Pix

Em 5 de setembro de 2025, o BCB publicou a Resolução BCB nº 496, que altera pontos importantes da Resolução BCB nº 1, de 12 de agosto de 2020, a qual institui e regulamenta o arranjo de pagamentos Pix. Dentre as mudanças, destacam-se:

• Antecipação do prazo para regularização de instituições de pagamento no Pix: como condição para participação no Pix, as instituições de pagamento não autorizadas deverão solicitar autorização para funcionamento ao BCB, independentemente do volume de suas movimentações financeiras, entre 1º de janeiro de 2026 e 1º de maio de 2026. O prazo anterior para a regularização era 31 de dezembro de 2026;
• Critérios para atuação como participante responsável do Pix: a partir de 5 de setembro de 2025, somente poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas as instituições que sejam, cumulativamente, provedoras de contas transacionais ou liquidantes especiais, participantes diretos do SPI, e integrantes dos segmentos S1 a S4, exceto as confederações de serviços e as cooperativas de crédito;
• Limite de valor por transação para instituições de pagamento não autorizadas e contratantes de PSTIs: instituições de pagamento não autorizadas e os participantes do Pix que se conectam à Rede do Sistema Financeiro Nacional (RSFN) por meio de um Provedor de Serviços de Tecnologia da Informação (PSTIs) estarão sujeitos ao limite de R$ 15.000,00 por transação via Pix.
• Hipóteses de dispensa do limite por transação: o limite previsto acima não será aplicável caso o participante do Pix acesse a RSFN por meio de PSTI devidamente credenciado pelo BCB, e demonstre, por meio de relatório emitido por auditor independente registrado na CVM que não compartilha chaves privadas com o PSTIs, valida a integridade das transações antes da assinatura, utiliza certificados distintos para ambientes diferentes do Pix; e adota certificados separados para assinatura de mensagens e para estabelecimento de canal no Pix. Mediante solicitação da instituição, o BCB poderá conceder dispensa temporária, por até 90 dias ou até o cumprimento das exigências de segurança da informação, o que ocorrer primeiro, desde que o pedido seja instruído com documento que apresente as medidas de segurança da informação já adotadas pela instituição, e o BCB considere tais medidas adequadas para mitigar os riscos envolvidos.

Os novos critérios para atuar como participante responsável no Pix por instituições de pagamento não autorizadas entram em vigor em 180 dias após a data da publicação da norma. Os demais dispositivos entraram em vigor em 5 de setembro de 2025.

Limitação de valor por transação via TED para instituições de pagamento não autorizadas e contratantes de PSTIs

O BCB publicou a Resolução BCB n° 497, que estabelece que as instituições de pagamento não autorizadas e contratantes de PSTIs estarão sujeitas ao limite de R$ 15.000,00 por transação via Transferência Eletrônica Disponível (TED), sendo aplicáveis os mesmos requisitos de dispensa previstos para as transações via Pix.

Processo de dispensa dos limites por transação via TED e Pix

Em 22 de setembro de 2025, o BCB publicou a Instrução Normativa BCB n° 666, que dispõe sobre o processo de solicitação de dispensa temporária, pelo prazo de 90 dias, do limite máximo de R$ 15.000,00 por transação via TED (Instrução BCB 666), e a Instrução Normativa BCB n° 667, aplicável ao processo de dispensa do referido limite por transação via Pix (“Instrução BCB 667”). Com relação ao Pix, a dispensa será aplicável apenas de segunda a sexta-feira, no período entre 6h30 e 18h30.

A instituição solicitante de dispensa do limite por transação via TED deve manter, a título de garantia, no mínimo, sobra de capital equivalente a 100% do volume diário máximo de TED realizadas em favor de clientes a partir de sua Conta Reserva Bancárias ou Conta de Liquidação, conforme o caso, calculado no período de 1° de agosto de 20225 e 29 de agosto de 2025.

Para a dispensa do limite por transação via Pix, a garantia deve corresponder à sobra de capital equivalente a 100% do volume diário máximo de transferências interbancárias realizadas de sua Conta PI, considerando o mesmo período de cálculo.

A sobra de capital é definida como para conglomerados e instituições tipo 1 e tipo 3 pertencentes aos segmentos S1 a S4, o menor excedente de capital em relação aos requerimentos mínimos de Capital Principal, Nível I e Patrimônio de Referência; para conglomerados e instituições tipo 1 e tipo 3 pertencentes ao segmento S5, o excedente de capital em relação ao requerimento mínimo de Patrimônio de Referência S5 (PRS5); e para conglomerados e instituições tipo 2, o excedente de capital em relação ao requerimento de mínimo de Patrimônio de Referência IP (PRIP).

A exigência de constituição de garantia para as transações via Pix e via TED é cumulativa, e o BCB poderá requerer a apresentação de garantia adicional caso entenda necessário.

As instituições devem realizar o protocolo da solicitação de dispensa acompanhado de documento formal que demonstre a constituição das garantias mencionadas acima e que descreva as medidas adotadas para implementação dos controles de segurança exigidos pelo BCB, bem como de relatório de asseguração razoável acerca das medidas implementadas, elaborado por auditor independente devidamente registrado na CVM. O pedido deverá ser assinado por diretor estatutário responsável pela política de segurança cibernética, que se comprometerá com a veracidade das informações apresentadas.

A dispensa temporária só produzirá efeitos após análise da documentação apresentada pela instituição a partir da comunicação formal acerca da decisão conjunta do Departamento de Operações Bancárias e de Sistema de Pagamentos (Deban), do Departamento de Tecnologia da Informação (Deinf) e do Departamento de Gestão Estratégica e Supervisão Especializada (Degef) do BCB. A dispensa poderá ser prorrogada por sucessivos períodos de, no máximo, 90 dias, mas pode ser revogada pelo BCB a qualquer tempo, caso a instituição apresente falhas graves, mantenha informações desatualizadas sobre seu capital ou não atenda às exigências relacionadas à constituição de garantias. As normas entraram em vigor na data de sua publicação.

Novos requisitos para o credenciamento de PSTIs

Outra inovação promovida pelo BCB foi a publicação da Resolução BCB n° 498, que rege os requisitos para o credenciamento e atuação dos PSTIs, entidades credenciadas aptas a prestar serviços de processamento de dados às instituições financeiras e demais autorizadas a funcionar pelo BCB para acesso à RSFN.

Dentre os principais requisitos para o credenciamento estão:

• Adesão aos princípios e regras da RSFN;
• Comprovação de sua constituição regular e da capacidade técnico-operacional para a prestação de seus serviços;
• Designação de diretores responsáveis pela segurança da informação e cibernética, gestão de riscos e compliance e gestão de crises operacionais, com comprovada capacitação técnica compatível com as atribuições dos cargos. Além disso, deve ser designado diretor responsável pelo relacionamento com o BCB;
• Comprovação de capital social realizado e de patrimônio líquido mínimo de R$ 15.000.000,00;
• Comprovação do estabelecimento de mecanismos de governança corporativa e de gestão de riscos;
• Comprovação de capacidade técnico-operacional para prestação de informações ao BCB em caso de incidentes operacionais, tecnológicos ou de segurança, incluindo os originados por ataque cibernético ou evento de fraude;
• Obtenção de certificação de segurança da informação reconhecida internacionalmente;
• Contratação de auditoria externa anual e independente de segurança da informação e, quando aplicável, em prevenção à lavagem de dinheiro e financiamento ao terrorismo;
• Contratação de seguro de responsabilidade civil e de riscos operacionais, incluindo incidentes de fraudes e segurança cibernética;
• Elaboração e manutenção de Plano de Continuidade de Negócios e de testes periódicos de contingência.

A norma veda o credenciamento como PSTI no caso de operadoras de serviço de comunicação contratadas para operar a RSFN, prestadores responsáveis pelo gerenciamento e monitoramento da rede, instituições financeiras e demais autorizadas pelo BCB, bem como partes relacionadas a essas instituições. Além disso, também não podem ser credenciadas entidades cujos controladores ou administradores não atendam aos critérios de idoneidade, reputação e qualificação técnica exigidos.

Instituições financeiras podem atuar como PSTIs para demais entidades do mesmo conglomerado financeiro, desde que haja segregação operacional e cumprimento dos requisitos técnicos e de segurança.

Além dos requisitos para credenciamento, os PSTIs deverão observar permanentemente uma estrutura mais robusta de governança corporativa e de gestão de riscos, compatíveis com sua natureza, porte, complexidade, perfil de risco e relevância sistêmica de suas operações, assegurando a segregação de funções, a independência das áreas de controle e a atuação efetiva da alta administração.

Nesse sentido, a nova norma exige a implementação de políticas, procedimentos e controles internos para identificar, avaliar, monitorar, mitigar e reportar riscos, incluindo operacionais, cibernéticos, de segurança da informação, de continuidade de negócios e de conformidade regulatória.

Além disso, determina a necessidade de manter mecanismos de prevenção à lavagem de dinheiro e ao financiamento do terrorismo, bem como planos de contingência e continuidade operacional, com testes periódicos.

Eventuais descumprimentos à regulamentação podem gerar o descredenciamento dos PSTIs, além da aplicação de medidas cautelares, como limites operacionais mais restritivos e a suspensão da conexão à RSFN, por exemplo.

A Resolução BCB n° 498 entra em vigor imediatamente e os PSTIs em atividade terão prazo de quatro meses para adequação à nova regulamentação.

Vale destacar que caberá às instituições reguladas, que tenham contratos com PSTIs, assegurar a contemplação das obrigações regulamentares previstas, além do monitoramento dos controles de segurança, governança e gestão de riscos, bem como a responsabilidade pela manutenção de suas chaves privadas e da utilização dos certificados, dentre outros aspectos.

Prazos para adequação dos PSTIs em operação às novas regras de segurança da informação e gestão de fraudes

Em complemento à Resolução BCB nº 498, o BCB publicou, em 11 de setembro de 2025, a Instrução Normativa BCB nº 664, com o objetivo de estabelecer prazos específicos para que os PSTIs, já em operação promovam as adaptações necessárias em atendimento os novos requisitos de credenciamento.

Em até 15 dias contados da publicação da Instrução Normativa BCB n° 664, os PSTIs devem atualizar aspectos específicos da política de segurança da informação para prever mecanismos de rastreabilidade de transações, de controle de acesso, gestão de certificados digitais, promoção de ações de inteligência cibernética, ações de proteção da rede, bem como monitoramento de informações de interesse na Internet, Deep e Dark Web. Os demais aspectos da política exigidos pela Resolução BCB n° 498 e não dispostos na Instrução Normativa BCB n° 664 devem ser atualizados em até 30 dias.

Além disso, os PSTIs deverão implementar, também no prazo de 30 dias, a política de gestão de fraudes prevista na Resolução BCB nº 498, abrangendo medidas preventivas, controles internos e mecanismos de resposta a incidentes.

Após a implementação das medidas dispostas na norma, os PSTIs deverão encaminhar ao BCB, em até 15 dias, relatório de asseguração razoável elaborado por auditor independente registrado na CVM, atestando o cumprimento integral dos requisitos e prazos estabelecidos.

O descumprimento dos prazos poderá ensejar a aplicação das medidas cautelares, incluindo restrições operacionais e suspensão da conexão à RSFN. A Instrução Normativa BCB nº 664 entrou em vigor na data de sua publicação.

Antecipação do cronograma de autorização das instituições de pagamento que operam abaixo da volumetria

Nos termos da Resolução BCB nº 494, todas as instituições de pagamento, independente do volume transacionado, deverão obter prévia autorização do BCB para iniciar suas atividades.
A norma prevê que o emissor de moeda eletrônica que houver iniciado a prestação de serviços antes de 1º de março de 2021, bem como o emissor de instrumento de pagamento pós-pago e o credenciador que iniciaram suas atividades antes de 5 de setembro de 2025 e não estiverem autorizados, deverão solicitar licença para funcionamento de 1° de maio de 2026 até 31 de maio de 2026.

A Resolução BCB n° 494 entrou em vigor no dia 5 de setembro de 2025.

Alterações no processo de autorização para funcionamento de instituições de pagamento

A Resolução BCB nº 495 implementou a necessidade de informar o endereço das instalações físicas da sede da instituição de pagamento no processo de autorização para funcionamento. A norma exige que o endereço seja de uso efetivo e exclusivo da instituição, sendo vedado endereços de coworking, escritórios virtuais ou de outro espaço compartilhado como sede da instituição, salvo para instituições que integrem o mesmo conglomerado. Tal obrigação se aplica inclusive às instituições de pagamento já autorizadas em 5 de setembro de 2025.

Além disso, caso o BCB indefira ou arquive definitivamente o pedido de autorização de funcionamento de uma instituição que já esteja operando, a instituição deverá, no prazo de 30 dias contados a partir da notificação, encerrar a prestação de serviços de pagamento, comunicar aos usuários acerca do encerramento e devolver eventuais saldos existentes nas contas de pagamento de seus usuários, transferindo-os para contas de pagamento ou contas de depósito dos usuários mantidas em instituições devidamente autorizadas a funcionar.

O disposto na Resolução BCB n° 495 se aplica, inclusive, aos pleitos protocolizados antes de 5 de setembro de 2025. A norma entrou em vigor na data de sua publicação.

Controles adicionais para prevenção à fraude em transações de pagamento

Alinhado às medidas anteriores, o BCB publicou a Resolução BCB n° 501, de 11 de setembro de 2025, que altera a Resolução BCB n° 141, de 23 de setembro de 2021, para dispor sobre controles adicionais a serem observados pelas instituições financeiras e demais autorizadas para prevenir a ocorrência de fraudes envolvendo transações de pagamento.

A norma prevê que as instituições devem rejeitar transações de pagamento quando constatarem identificação de fundada suspeita de envolvimento de fraude em contas destinatárias de depósitos à vista, contas de depósitos de poupança e contas de pagamento pré-pagas. A avaliação deve considerar critérios próprios de cada instituição, inclusive com base em informações constantes de sistemas eletrônicos e bases de dados de caráter público ou privado.

A instituição destinatária dos recursos deve comunicar ao titular da conta acerca da efetivação da medida de rejeição da transação. Além disso, as instituições deverão implementar as medidas necessárias para atendimento ao disposto na norma até 13 de outubro de 2025.

Para mais informações sobre o tema, conheça a prática de Bancos e Serviços financeiros do Mattos Filho.