O Banco Central do Brasil (BC) implementou rigorosas modificações nas normativas que regem o Sistema de Pagamentos Instantâneos, o Pix, visando fortalecer sua segurança e mitigar a ocorrência de fraudes. As mudanças são uma resposta direta a uma série de ataques cibernéticos que resultaram em um prejuízo estimado em R$ 1,5 bilhão, impactando a credibilidade e a integridade da plataforma. Conforme detalhado na ata do último Fórum Pix, realizado no dia 4 de março, essas novas diretrizes afetam diretamente as instituições financeiras que operam de forma indireta no sistema, exigindo um nível superior de adequação e controle.
O Contexto dos Ataques Cibernéticos e o Rombo de R$ 1,5 Bilhão
Entre os meses de junho e setembro, o ambiente financeiro digital brasileiro foi palco de uma onda de ataques cibernéticos direcionados ao Pix. Estes incidentes exploraram vulnerabilidades e, de acordo com as investigações, frequentemente utilizaram contas de fachada mantidas em participantes indiretos do sistema para dispersar os valores obtidos ilegalmente. A escala dessas operações fraudulentas foi expressiva, culminando em um prejuízo financeiro acumulado na ordem de R$ 1,5 bilhão. Este cenário alarmante impulsionou a autoridade monetária a revisar e endurecer as regras existentes, buscando tapar as lacunas de segurança que permitiram tais ocorrências.
Papel e Vulnerabilidade dos Participantes Indiretos
As instituições classificadas como participantes indiretas do Pix são aquelas que não possuem autorização direta do Banco Central para operar o sistema, necessitando, portanto, de um contrato com uma instituição financeira que participe diretamente. Historicamente, essa estrutura permitia uma capilaridade maior do Pix, mas também introduziu pontos de fragilidade. Os criminosos se aproveitaram dessa característica, utilizando contas abertas nessas entidades indiretas como “pontes” para desviar e pulverizar o dinheiro fruto dos golpes. A falta de mecanismos de controle mais rígidos e a dificuldade de rastreamento facilitaram a ação dos fraudadores, tornando esses participantes um elo crucial nas cadeias de fraude. Atualmente, enquanto 39 dessas empresas já operam dentro de um novo padrão de conformidade, um grupo de 31 ainda precisa se ajustar às exigências mais recentes do BC.
As Novas Regras do Banco Central para Maior Segurança
A resposta do Banco Central materializou-se em uma resolução publicada em 5 de setembro, que estabelece critérios mais rigorosos para as instituições que desejam tutelar a participação de terceiros no Pix. A medida central é a exigência de um “formulário completo de avaliação de risco”. Este documento detalhado serve como um instrumento para que o BC possa avaliar exaustivamente a capacidade de uma instituição de gerir riscos e garantir a segurança das operações de seus parceiros. Ele contempla informações cruciais sobre movimentações financeiras e valores sob custódia, permitindo à autoridade monetária aferir a probabilidade de ocorrência de calote ou insolvência por parte da instituição ou de seus clientes, fortalecendo a supervisão e a integridade do ecossistema de pagamentos.
Impacto nas Cooperativas de Crédito e o Prazo de Adequação
Além das participantes indiretas, as cooperativas de crédito também foram afetadas pelas novas diretrizes. Elas perderam o direito de atuar como tutoras de outras empresas dentro do Sistema Pix, uma alteração significativa que visa concentrar a responsabilidade sobre a segurança em um número mais restrito de entidades com capacidade comprovada de fiscalização. Para as participantes indiretas que não se adequarem às novas regras, a janela para encontrar um novo parceiro que atenda aos requisitos do Banco Central é limitada. O prazo final para essa transição é 4 de março do ano subsequente; caso não consigam, as instituições em desacordo serão sumariamente excluídas do sistema. Essa medida reflete a urgência e a seriedade com que o BC está tratando a questão da segurança.
Casos Relevantes de Fraude e a Resposta das Empresas
Os ataques cibernéticos revelaram a extensão da vulnerabilidade. Um dos episódios de destaque envolveu a empresa Soffy. Durante os ataques registrados em 30 de junho, a Soffy recebeu aproximadamente R$ 270 milhões dos R$ 541 milhões desviados da BMP Moneyplus. Em decorrência dessa movimentação massiva e suspeita, a participação da Soffy no Pix foi temporariamente suspensa pelo Banco Central. A empresa, por sua vez, declarou publicamente que a conta que recebeu o montante não pertencia diretamente a ela, mas sim a um de seus clientes parceiros, que é outra fintech, cuja identidade não foi revelada. Este caso ilustra a complexidade do rastreamento de fundos ilícitos e a intrincada rede de relações entre os participantes indiretos e seus próprios clientes.
A Visão da Associação Nacional dos Analistas do Banco Central
A ANBCB, Associação Nacional dos Analistas do Banco Central do Brasil, manifestou-se sobre o cenário, esclarecendo que o acesso dos participantes indiretos permanece contemplado na norma vigente. Contudo, a associação enfatizou a natureza dinâmica das regulamentações. Em seu comunicado, a ANBCB ressaltou que “a manutenção desse enquadramento, sua eventual revisão ou novas condições técnicas dependerão exclusivamente das decisões futuras do Banco Central, conforme suas avaliações de risco, capacidade operacional e diretrizes de política pública”. Essa declaração sublinha a prerrogativa do BC em ajustar as normas conforme a evolução das ameaças e a necessidade de assegurar a robustez do sistema.
Agenda de Segurança do Pix para 2026 e o Futuro dos Pagamentos
O Banco Central já delineou uma ambiciosa agenda de segurança para o Pix que se estende até 2026, focando na prevenção e na detecção de fraudes. Entre os planos, destaca-se a intenção de dificultar o acesso de pessoas com histórico comprovado de fraude ao sistema, visando coibir a atuação de “laranjas” e outros intermediários em esquemas criminosos. Adicionalmente, a autoridade monetária planeja estabelecer critérios de segurança específicos para o Pix automático, uma modalidade de pagamento recorrente similar ao débito automático, que terá sua utilização restrita a instituições financeiras adequadas a partir de novembro de 2026. Essas iniciativas demonstram um esforço contínuo para refinar a segurança do sistema e adaptá-lo às novas modalidades de uso.
Mecanismo Especial de Devoluções (MED): Aprimoramentos e Desafios Atuais
O Mecanismo Especial de Devoluções (MED), uma ferramenta essencial para o rastreio e estorno de transações em casos de golpe ou fraude, está passando por significativas transformações. Neste ano, o BC introduziu a adesão opcional ao MED, mas sua obrigatoriedade está agendada para 26 de fevereiro do ano subsequente. Simultaneamente, haverá uma expansão no número de transferências sob vigilância, passando de uma para cinco, o que multiplicará a capacidade de rastreamento. O escopo do MED também será ampliado até julho de 2026. Apesar dos avanços, o sistema enfrenta desafios; o autoatendimento do MED, lançado em outubro, triplicou o número de pedidos de devolução, mas a taxa de negativas subiu de 70% para 80%, principalmente devido à falta de evidências claras de golpe financeiro. Para superar essa lacuna, o Banco Central está desenvolvendo um indicador de probabilidade de fraude, baseado em um algoritmo de análise de dados, e exigirá que as instituições financeiras enviem mensagens aos clientes sobre o status dos pedidos de devolução a partir de fevereiro de 2026, cobrindo casos de bloqueio, liberação e devolução.
Novas Ferramentas de Segurança e Prevenção
Além das medidas já implementadas e das que estão programadas, o Banco Central trabalha ativamente no desenvolvimento de novas ferramentas e critérios para fortalecer o ambiente de segurança do Pix. Uma matriz de risco está sendo elaborada para identificar falhas sistêmicas de segurança que possam comprometer a integridade do sistema como um todo. Paralelamente, a definição de critérios claros para o que constitui “suspeita de fraude” ou fraude comprovada é uma prioridade, o que é crucial para aprimorar a eficácia do MED e outros mecanismos de proteção. Adicionalmente, o indicador de probabilidade de fraude, um algoritmo avançado, promete revolucionar a capacidade de detecção proativa de atividades ilícitas. Medidas como a exigência de cadastro de um aparelho para liberar o Pix e um limite de valor para transações também foram impostas no corrente ano, reforçando as barreiras de segurança para os usuários.
Para informações detalhadas sobre as regulamentações e a agenda de segurança do Pix, consulte os comunicados oficiais do Banco Central do Brasil.
FAQ: Perguntas Frequentes sobre a Segurança do Pix
1. Quais são as principais alterações nas regras do Pix para participantes indiretas?
As participantes indiretas agora precisam de um formulário completo de avaliação de risco para tutelar terceiros, contendo dados de movimentações e valores sob custódia, usado pelo Banco Central para avaliar probabilidade de calote ou insolvência. Cooperativas de crédito também perderam o direito de tutelar. Aquelas em desacordo que não encontrarem novo parceiro até 4 de março serão excluídas do sistema.
2. Como os recentes ataques cibernéticos afetaram o sistema Pix e motivaram as novas diretrizes?
Ataques entre junho e setembro resultaram em um rombo de R$ 1,5 bilhão. Contas de fachada mantidas em participantes indiretos foram usadas para dispersar o dinheiro das fraudes, levando o Banco Central a endurecer as regras e exigir maior controle e segurança dessas instituições.
3. O que é o Mecanismo Especial de Devoluções (MED) e quais são suas futuras implementações?
O MED é uma ferramenta para rastreio e devolução de valores em caso de golpe. Tornará-se obrigatório em 26 de fevereiro do ano subsequente, com expansão do rastreio de uma para cinco transferências e do escopo até julho de 2026. O BC também desenvolve um indicador de probabilidade de fraude e exigirá que as instituições enviem mensagens sobre o status dos pedidos de devolução a partir de fevereiro do ano subsequente.
