BC anuncia medidas de segurança e limita Pix e TED a R$ 15 mil para instituições não autorizadas; veja regras

O Banco Central (BC) anunciou nesta sexta-feira, 5, um pacote de medidas regulatórias para reduzir riscos de ataques ao sistema de pagamentos do Brasil e coibir ações do crime organizado com uso de fintechs. Uma das medidas é a limitação em R$ 15 mil do valor de TED e Pix para instituições de pagamento não autorizadas e para as que se conectam à Rede do Sistema Financeiro Nacional via Prestadores de Serviços de Tecnologia da Informação (PSTI).

Em coletiva realizada na manhã desta sexta-feira, no Banco Central, diretores da autoridade monetária explicaram que a limitação, que entra em vigor imediatamente, poderá ser removida quando a empresa e seu respectivo PSTI atenderem a novos processos de controle de segurança.

Além disso, foi informado que, de forma provisória, poderão ser dispensados da limitação por até 90 dias os participantes que atestarem a adoção de controles de segurança da informação.

O BC também decidiu antecipar cronograma e prevê que todas as fintechs devem operar dentro do arcabouço regulatório até 2026.

“Nenhuma instituição de pagamento poderá começar a operar sem prévia autorização. Além disso, o prazo final para que instituições de pagamento não autorizadas a funcionar pelo BC solicitem autorização para funcionamento foi antecipado de dezembro de 2029 para maio do ano que vem”, disse em nota o BC.

Outras medidas

1. Controles adicionais às instituições de pagamento

Somente integrantes dos segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. Os contratos vigentes deverão ser adequados em até cento e oitenta dias.

2. Certificação técnica

O BC poderá requerer certificação técnica ou avaliação emitida por empresa qualificada independente que ateste o cumprimento dos requisitos autorizativos. A instituição de pagamento que já estiver prestando serviços e tenha seu pedido de autorização indeferido deverá encerrar suas atividades em até 30 dias. A vigência da medida é imediata.

3. Requisitos de governança

O BC também endureceu os requisitos de governança e de gestão de riscos para os Prestadores de Serviços de Tecnologia da Informação (PSTI), entidades autorizadas a fornecer serviços de processamento de dados para instituições financeiras. Duas PSTIs – C&M Software e Sinqia – estiveram no centro de ataques hacker nas últimas semanas.

Passa-se a exigir capital mínimo de R$ 15 milhões. O descumprimento estará sujeito à aplicação de medidas cautelares ou até ao descredenciamento. A norma entra em vigor imediatamente e os PSTI em atividade têm até quatro meses para se adequarem.