Medidas limitam operações, antecipam prazo para autorização de fintechs e reforçam exigências de segurança cibernética.
O Banco Central (BC) anunciou nesta sexta-feira (5) um conjunto de medidas regulatórias voltadas à proteção do sistema de pagamentos e ao combate ao uso de fintechs por organizações criminosas. Entre as principais iniciativas está o limite de R$ 15 mil para operações de TED e Pix realizadas por instituições de pagamento não autorizadas ou conectadas à Rede do Sistema Financeiro Nacional por meio de Prestadores de Serviços de Tecnologia da Informação (PSTI).
Limite imediato para transações digitais
De acordo com o BC, a restrição passa a valer imediatamente. A suspensão desse teto será possível apenas quando a instituição de pagamento e seu respectivo PSTI comprovarem a adoção de novos mecanismos de controle e segurança.
Ainda segundo a autoridade monetária, instituições que comprovarem medidas robustas de proteção de dados poderão, de forma temporária, ser dispensadas do limite por até 90 dias.
Prazo para regularização das fintechs
O Banco Central também decidiu antecipar o cronograma de enquadramento das fintechs às regras regulatórias. O prazo final para que empresas em operação solicitem autorização de funcionamento foi antecipado de dezembro de 2029 para maio de 2026.
“Nenhuma instituição de pagamento poderá iniciar atividades sem autorização prévia”, reforçou o BC em nota oficial.
Regras adicionais para instituições de pagamento
A partir de agora, apenas instituições classificadas nos segmentos S1, S2, S3 ou S4 — exceto cooperativas — poderão atuar como responsáveis pelo Pix em nome de empresas não autorizadas. Os contratos existentes deverão ser ajustados no prazo máximo de 180 dias.
Exigência de certificação técnica
O BC também poderá requerer certificação técnica ou laudo de empresa independente que comprove o cumprimento das exigências autorizativas. Caso o pedido de autorização seja negado, a instituição terá 30 dias para encerrar suas atividades.
Reforço na governança dos PSTIs
Outro ponto do pacote é o endurecimento das regras de governança e de gestão de riscos para os PSTIs, empresas responsáveis pelo processamento de dados financeiros. As mudanças ocorrem após ataques cibernéticos que envolveram prestadoras como C&M Software e Sinqia.
A partir de agora, será exigido capital mínimo de R$ 15 milhões para operação. O não cumprimento poderá resultar em medidas cautelares ou até no descredenciamento. As normas entram em vigor imediatamente, com prazo de quatro meses para adaptação das empresas já ativas.
