Nova arquitetura regulatória do Pix redefine segurança e governança no sistema financeiro
Nas últimas semanas, o Banco Central do Brasil (BCB) promoveu uma abrangente reforma regulatória em resposta ao crescimento exponencial de incidentes de segurança e de fraudes — que colocam o Brasil entre os países com maior exposição a ataques digitais. O regulador publicou um conjunto de normas que redesenham a arquitetura de segurança do Pix e dos pagamentos instantâneos.
A iniciativa, que incluiu resoluções e instruções normativas, foi analisada em detalhes pelas advogadas Larissa Arruy e Florence Terada, representantes dos escritórios jurídicos Mattos Filho e Opice Blum, respectivamente, no GT Modalidades do Pix e na Comissão de Produtos PJ da ABBC. O objetivo foi apoiar os bancos na interpretação técnica e operacional das novas exigências, que têm mobilizado equipes jurídicas, de compliance, tecnologia e risco em uma força-tarefa de adequação.
Uma mudança estrutural na abordagem regulatória
Segundo Larissa Arruy, sócia do Mattos Filho, o movimento do Banco Central deve ser entendido como uma “mudança estrutural, e não pontual”, que busca aprimorar e robustecer os mecanismos de segurança do sistema financeiro. A nova regulamentação reforça as exigências de uma abordagem proativa, integrada e baseada em evidências por parte das instituições reguladas, com foco em prevenção, rastreabilidade e governança.
A complexidade envolvida na conformidade às normas exige uma estratégia coordenada entre as principais áreas das instituições reguladas, destaca Florence Terada, sócia do escritório Opice Blum. Portanto, “mais do que cumprir prazos, é essencial compreender como cada norma se conecta ao negócio e de que forma impacta a operação como um todo.”
A seguir, uma análise integrada das principais normas e seus efeitos práticos na visão dos escritórios:
Resolução BCB nº 365 — Governança como eixo central
Essa norma eleva o padrão de governança exigido das instituições participantes do Pix. Ela impõe a integração entre áreas de risco, tecnologia e compliance, além de exigir planos de continuidade de negócios e comunicação estruturada de incidentes. Na prática, isso significa que os bancos precisarão revisar seus modelos de gestão de riscos operacionais, com foco em resiliência organizacional e resposta coordenada a eventos de fraude.
Resoluções BCB nº 496, 497 e 503 — Contenção de riscos sistêmicos
Essas normas introduzem limites operacionais de R$ 15 mil para transações via Pix e TED realizadas por instituições não autorizadas ou conectadas via PSTIs não credenciados. A medida visa conter o risco sistêmico de fraudes em ambientes com menor controle regulatório. A possibilidade de dispensa temporária, mediante auditoria e comprovação de controles, cria um incentivo à profissionalização da infraestrutura tecnológica e à adoção de boas práticas de segurança.
Exceções à regra da Resolução n° 497:
O participante acessa a RSFN por PSTI credenciado e apresenta o relatório de asseguração emitido por auditor registrado na CVM; quando a transação tiver como destinatário a Secretaria do Tesouro ou se destinar ao pagamento de Guia do FGTS Digital;
O Banco Central poderá, a pedido do participante, conceder dispensa temporária de até 90 dias ou até que os requisitos técnicos e de auditoria sejam cumpridos.
Resolução BCB nº 498 — Novo regime para PSTIs
Talvez a mais disruptiva do pacote, essa resolução estabelece um regime de credenciamento rigoroso para Provedores de Serviços de Tecnologia da Informação (PSTIs). Com exigência de capital mínimo, governança corporativa, certificações de segurança, auditorias externas e monitoramento 24/7, a norma transforma os PSTIs em atores regulados e corresponsáveis pela segurança do sistema. O escritório Opice Blum destaca que, diante dos recentes casos de incidentes envolvendo PSTIs, essas medidas são essenciais para aprimorar a governança desses provedores, com o intuito de mitigar riscos aos demais participantes do ecossistema.
Resolução BCB nº 501 — Recusa ativa de transações suspeitas
Essa norma inaugura uma nova lógica de atuação das instituições financeiras: a recusa ativa de transações com indícios de fraude ou fundada suspeita. Isso exige o desenvolvimento de modelos analíticos robustos, integração de bases públicas e privadas, e capacidade de decisão em tempo real. A medida também impõe obrigações de comunicação ao cliente, reforçando a transparência e a proteção ao usuário.
IN BCB nº 661 — Empoderamento do cidadão
O BC Protege + permite que qualquer pessoa bloqueie preventivamente a abertura de contas em seu nome, criando uma camada adicional de proteção contra fraudes de identidade. A obrigatoriedade de consulta prévia ao sistema, a partir de dezembro de 2025, exigirá integração tecnológica com a RSFN/STA, além de ajustes nos fluxos de onboarding e autenticação.
IN RFB nº 2.278 — Expansão da e-Financeira
A Receita Federal amplia o escopo da e-Financeira para incluir fintechs e instituições de pagamento, que passam a reportar todas as operações de clientes, inclusive contas de pagamento e fundos. A exigência de declaração “sem movimento” mesmo na ausência de transações obriga as empresas a revisar seus produtos e adaptar seus sistemas de forma imediata, com impacto direto na gestão de dados e conformidade fiscal.
Resoluções BCB nº 666 e nº 669 — Segurança sistêmica e interoperabilidade
Essas normas complementares reforçam a necessidade de interoperabilidade segura entre os participantes do sistema de pagamentos, com diretrizes para mitigação de riscos operacionais e fortalecimento da infraestrutura crítica. Elas consolidam o movimento do Banco Central em direção a um modelo de resiliência sistêmica, em que cada elo da cadeia — da instituição financeira ao PSTI — deve operar com padrões elevados de segurança e governança.
MED 2.0: o novo centro de gravidade da prevenção
O pacote de resoluções, concomitantemente, chega em um momento no qual o BC fará uma atualização do Mecanismo Especial de Devolução. O chamado MED 2.0 é considerado outro ponto importante neste movimento de reforma. Com prazos definidos, fluxos padronizados e regras claras, o novo modelo transforma a devolução de valores em casos de fraude em um processo técnico, rastreável e colaborativo.
Para os membros do GT Modalidade Pix, a advogada Larissa Arruy apresentou um passo a passo do novo funcionamento para torná-lo ainda mais claro aos associados:
1. Iniciação da solicitação – A instituição de origem abre o pedido de devolução quando identificar indícios de fraude, inserindo o caso no ambiente de devoluções padronizado do Pix.
2. Bloqueio cautelar – A instituição de destino deve realizar o bloqueio cautelar dos recursos, impedindo movimentações até que a análise seja concluída.
3. Análise cooperada – Ambas as instituições realizam investigação conjunta, trocando evidências e relatórios via sistema seguro e rastreável.
4. Decisão e devolução – Se confirmada a fraude, a instituição de destino efetiva a devolução dentro dos novos prazos regulamentares, ou justifica tecnicamente eventual negativa, sempre com documentação comprobatória.
Para Larissa, o MED 2.0 requer cooperação entre instituições é essencial para garantir agilidade, segurança e previsibilidade ao usuário final.
Impactos operacionais: o desafio da adequação
A leitura integrada dos dois escritórios jurídicos para as novas normas revela um cenário de alta complexidade operacional. Os bancos precisarão revisar seus fluxos de atendimento, adaptar sistemas legados, capacitar equipes e integrar dados entre áreas jurídicas, técnicas e de risco.
O Opice Blum alerta para a nova responsabilidade dos PSTIs, que passam a ser considerados fornecedores relevantes. Isso implica em maior rigor na contratação, exigência de planos de continuidade, testes de vulnerabilidade e auditorias periódicas.
Além disso, a Resolução BCB nº 501 exige que as instituições recusem transações com suspeita de fraude, o que demanda sistemas de monitoramento em tempo real, integração de bases públicas e privadas e capacidade analítica para tomada de decisão ágil e fundamentada.
De forma complementar, a advogada Florence Terada recomendou atenção aos fornecedores relevantes, conforme as normas que dispõem sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem (Resolução CMN nº 4.893/21 e Resolução BCB nº 85/21), uma vez que muitos incidentes de segurança têm origem na exploração de vulnerabilidades existentes em terceiros contratados.
Um novo paradigma de segurança e confiança
As medidas do Banco Central alinham o Brasil às melhores práticas internacionais de resiliência cibernética, conforme recomendações do CPMI e da IOSCO. A prevenção a fraudes deixa de ser uma função isolada e passa a integrar a cultura organizacional das instituições financeiras.
Os encontros promovidos pela ABBC, com participação ativa do GT Modalidades do Pix (Mattos Filho) e Produtos PJ (Opice Blum), foram essenciais para esclarecer dúvidas dos associados e aperfeiçoar o alinhamento entre o setor financeiro com o novo regramento. A nova arquitetura regulatória exige não apenas conformidade, mas também maturidade institucional, capacidade técnica, colaboração entre as instituições reguladas e o compromisso com a segurança dos serviços prestados aos clientes.
ABBC - Associação Brasileira de Bancos
Av. Paulista, 1842 - 15º andar
CEP: 01311-100 São Paulo - SP
ABBC ® Todos os direitos reservados.