O Banco Central prepara um pacote de medidas visando reforçar a segurança do sistema financeiro nacional após uma sequência de ataques cibernéticos e fechar brechas que permitiram a infiltração do crime organizado na economia.
Preocupado com os recentes ataques hackers que provocaram desvios milionários de recursos, o BC estuda limitar o acesso ao Pix de instituições que utilizam as chamadas PSTIs (Provedoras de Serviços de Tecnologia da Informação) para conexão à infraestrutura.
A autoridade monetária promete mais rigor com relação ao limite de valor das transações via Pix. A ideia é reduzir o montante de cada operação para um nível que não inviabilize 99% das transações, mas facilite a identificação de golpes pela multiplicidade de operações.
Atualmente, não entra no escopo de regulação do BC a forma como as instituições sem infraestrutura de conectividade contratam e se relacionam com as empresas prestadoras de serviços de tecnologia.
A fragilidade dessa relação ficou mais evidente para a autoridade monetária com os ataques cibernéticos envolvendo as empresas C&M Software e Sinqia -o desvio somado nos dois episódios é de cerca de R$ 1,5 bilhão.
Segundo relato feito à Folha de S.Paulo, em ambos os casos, as instituições deram acesso direto para as prestadoras de serviços de tecnologia às contas mantidas por elas no Banco Central. Esse “atalho” de credenciais deixou o sistema mais vulnerável.
Hoje, não é proibido que a instituição dê a “chave do cofre” para sua empresa parceira, o que abre brechas na segurança do sistema financeiro. Com as novas medidas, a autoridade monetária busca coibir esse tipo de prática.
O Banco Central estuda também limitar o acesso ao Pix de instituições que ainda não possuem autorização de funcionamento, inclusive daquelas que estão com processo de autorização em andamento.
Nesse contexto, o BC prevê antecipar o cronograma de inclusão das instituições de pagamento em seu arcabouço regulatório para o ano que vem. Segundo a norma atual, o escalonamento só termina em 31 de março de 2029, com o montante que baliza o escopo das operações sendo reduzido ano a ano.
Para 2026, por exemplo, as regras atuais determinam que a instituição de pagamento deve solicitar autorização ao Banco Central para funcionar se alcançar movimentações financeiras superiores a R$ 200 milhões em transações de pagamento ou R$ 20 milhões em recursos mantidos em conta de pagamento pré-paga.
A entrada mais célere, contudo, é vista com preocupação por membros da área técnica, que temem que a medida provoque efeito contrário ao desejado na segurança do sistema. Os recentes acontecimentos trouxeram mais pressão ao BC pelo aperto nas regras.
A regulamentação das contas-bolsão também está no radar do Banco Central depois que investigações mostraram que facções criminosas se aproveitaram desse instrumento usado por fintechs para ocultação de bens, lavagem de dinheiro e evasão fiscal.
Contas-bolsão são contas correntes abertas por fintechs de pequeno porte, que não têm acesso ao sistema brasileiro de pagamentos, em bancos tradicionais e outras instituições de pagamento.
Essas contas reúnem simultaneamente o dinheiro de vários clientes da fintech. Ao movimentar o dinheiro de um desses clientes, a fintech utiliza a conta-bolsão registrada no próprio CNPJ, o que dificulta o rastreio da origem do dinheiro.
Nesta quarta (3), o secretário da Receita Federal, Robinson Barreirinhas, afirmou que o Coaf (Conselho de Controle de Atividades Financeiras) “não está dando conta” de rastrear a movimentação de dinheiro sujo por meio das contas-bolsão utilizadas por fintechs.
A autoridade monetária avalia se há algum caso que necessite a utilização de uma conta-bolsão ou se esse instrumento pode deixar de existir.
O BC discute ainda como disciplinar a prestação de serviços no modelo BaaS (Banking as a Service) a partir de regras que assegurem “segurança, solidez e prevenção e mitigação de riscos ao sistema financeiro”, conforme trecho de consulta pública aberta no ano passado.
Em abril, o diretor de Regulação do BC, Gilneu Vivan, disse que havia previsão de concluir o trabalho sobre o tema neste ano e que seria desenhado um processo de ajuste para que os contratos já existentes pudessem se adaptar à nova normativa.