O BC (Banco Central) anunciou nesta 5ª feira (11.set.2025) que obrigará instituições financeiras a rejeitar pagamentos para contas usadas em fraudes. A norma foi aprovada para evitar ataques ao sistema financeiro. Eis a íntegra do comunicado (PDF – 84 kB).
Segundo o BC, o destinatário dos recursos não poderá receber os valores se a conta tiver “fundada suspeita de envolvimento em fraude”. A medida vale para qualquer instrumento de pagamento, como TED (Transferência Eletrônica Disponível), Pix e outros, e entra em vigor imediatamente.
As instituições financeiras terão que se adequar ao sistema que impede as transações até 13 de outubro de 2025.
“As instituições devem utilizar todas as informações disponíveis, incluindo aquelas constantes em sistemas eletrônicos e bases de dados de caráter público ou privado, para avaliarem o envolvimento das contas em fraudes. As instituições devem comunicar ao titular da conta sobre a efetivação das medidas tomadas em casos de suspeita de fraude e consequente bloqueio”, disse o BC.
Segundo a autoridade monetária, a norma se alinha às ações que buscam reforçar os processos e protocolos de segurança do Sistema Financeiro Nacional. O BC defende que é preciso combater o envolvimento do crime organizado no setor.
O Banco Central já havia anunciado na 6ª feira (5.set.2025) outras medidas para conter as invasões de hackers nos sistemas de pagamento. A principal delas é a que estabelece um limite de R$ 15.000 em operações de TED e Pix para 2 grupos de empreendimentos:
A IP (instituições de pagamento) autorizadas são pessoas jurídicas que viabilizam serviços de compra e venda de recursos no âmbito de um arranjo de pagamento, mas não podem conceder empréstimo e financiamento de seus clientes.
Há, porém, instituições de pagamento não autorizadas que operam no país. Segundo o BC, estas companhias não oferecem risco às transações de varejo e não são integrantes do Sistema de Pagamentos Brasileiro. Devem ter volume financeiro de até R$ 20 bilhões e máximo de 100 milhões de transações por ano.
Agora, nenhuma instituição de pagamento nova poderá começar a operar sem prévia autorização do BC.
As companhias que já existem no mercado terão o prazo final para obter a licença em maio de 2026. O calendário foi antecipado. Antes, era previsto para dezembro de 2029.
No caso de instituições que se ligam a PSTI (Prestadores de Serviços de Tecnologia da Informação) para ter conexão à rede do sistema de pagamentos, que foi alvo de ataques hackers nos últimos meses.
As medidas anunciadas nesta 5ª feira (11.set.2025) foram adotadas depois dos últimos casos de fragilidade no sistema financeiro. O 1º caso emblemático foi em 2 de julho deste ano, quando o BC detectou uma invasão contra a C&M Software, uma prestadora de serviço de tecnologia –empresa que não é regulamentada pela autoridade monetária.
A Polícia Civil de São Paulo prendeu no dia seguinte ao caso, em 3 de julho, João Nazareno Roque, ex-funcionário da empresa que teria contribuído para desvios de R$ 800 milhões de 8 instituições financeiras. A Justiça de São Paulo decretou em 11 de julho a prisão preventiva do técnico de TI.
Em 1º de setembro, novas instituições foram alvo de invasão, incluindo o banco HSBC Brasil e a sociedade de crédito Artta. Os criminosos desviaram, pelo menos, R$ 710 milhões. A fragilidade do sistema teria ocorrido na Sinqia Digital, que também é uma fintech –empresa que presta serviços de tecnologia para o setor financeiro– não regulada pelo Banco Central.
Tanto a C&M Software quanto a Sinqia Digital são empresas prestadoras de serviços que não são regulamentadas pelo Banco Central. Apesar disso, são mantidas pelas instituições financeiras junto ao BC para liquidar operações no SPB (Sistema de Pagamentos Brasileiro), como o Pix.
As transações irregulares foram realizadas por meio da exploração de credenciais legítimas de fornecedores de TI. Na 3ª feira (2.set.2025), a Sinqia afirma que encerrou o acesso dessas credenciais e que não há indícios de comprometimento de dados pessoais.
O Banco Central defende que a infraestrutura do sistema de pagamento instantâneo não foi impactado e segue segura. Além disso, a autoridade monetária afirma que o volume desviado não afetou os clientes bancários, somente as contas reservas das instituições que contrataram as prestadoras de serviços.
Outras tentativas de invasão foram registradas nos últimos dias, mesmo que em outros moldes. O Poder360 apurou que o Santander Brasil foi alvo de ataque hacker na tarde de 5ª feira (4.set.2025). Ação consistiu em um grande volume de consultas simultâneas por meio de QR Code de Pix que resultou em instabilidade e interrupção de serviços. Não houve desvio de recursos nem acesso a dados. A este jornal digital, o banco informou que “atuou com sucesso para bloquear os acessos indevidos e reportou o fato às autoridades”.
