BRASÍLIA – O Banco Central do Brasil (BC) está preparando uma contraofensiva regulatória sem precedentes para blindar o ecossistema do Pix. A autarquia estuda impor restrições severas ao uso da ferramenta por bancos e fintechs que apresentarem vulnerabilidades em suas estruturas de segurança cibernética.
A medida representa uma mudança de postura do regulador, que passará a agir de forma preventiva e imediata, reduzindo a dependência de processos administrativos tradicionais — que costumam ser mais lentos. A decisão é motivada por uma sequência de ataques hackers que expuseram as fragilidades de instituições financeiras de menor porte e de empresas de tecnologia que operam conectadas à infraestrutura do Pix.
As punições em análise: O que muda para as instituições de risco?
A proposta do Banco Central visa criar um "tratamento diferenciado" no mercado. Instituições com históricos de falhas ou defesas digitais insuficientes operarão sob amarras, enquanto aquelas com padrões elevados manterão o acesso pleno.
Entre as penalidades em estudo pelo BC, destacam-se:
-
Limitação operacional: Imposição de tetos mais baixos para valores de transações e restrições de horários para a movimentação financeira.
-
Bloqueio de crescimento: Suspensão temporária do registro de novas chaves Pix por parte da instituição considerada de risco.
-
Corte total (Penalidade máxima): Em casos graves ou de reincidência, a suspensão integral do acesso ao Sistema de Pagamentos Instantâneos (SPI).
Continua após a publicidade
O objetivo principal é gerar uma pressão regulatória e comercial para que o mercado invista massivamente em proteção digital, eliminando os elos mais fracos da cadeia financeira.
O elo mais fraco: Prejuízos já somam R$ 1,5 bilhão
Dados de mercado apontam que, nos últimos 12 meses, os desvios ligados a fraudes cibernéticas no ecossistema de pagamentos já ultrapassaram a impressionante marca de R$ 1,5 bilhão.
Especialistas explicam que a estratégia dos cibercriminosos mudou. Em vez de tentarem romper as robustas defesas dos grandes bancos de varejo ou do próprio Banco Central, as gangues digitais passaram a mirar em fintechs, gateways de pagamento e prestadoras de serviços de tecnologia que fazem a ponte com o sistema central.
Caso C&M Software: O "Roubo do Ano"
O episódio que acendeu o alerta definitivo no Banco Central foi o ataque sofrido pela provedora de tecnologia C&M Software. O caso expôs como a vulnerabilidade de um intermediário pode colocar bilhões em risco.
Raio-X do Ataque à C&M Software:
O Alvo: Uma empresa de software intermediária (não bancária) que conecta dezenas de instituições financeiras ao sistema do BC.
A Brecha: Criminosos acessaram os sistemas internos explorando falhas na infraestrutura tecnológica da empresa, burlando camadas de autenticação.
O Prejuízo: O ataque resultou no desvio de aproximadamente R$ 800 milhões, um recorde no ecossistema do Pix.
Mesmo após o BC ter endurecido as regras de cibersegurança ao longo de 2025, os incidentes continuaram desafiando as autoridades. Recentemente, a MagaluPay (braço financeiro da varejista Magazine Luiza) e outra fintech de grande alcance também sofreram tentativas severas de ataques hackers, o que obrigou o BC a emitir comunicados de alerta ao Sistema de Pagamentos Instantâneos (SPI).
"Tira o nosso sono", confessam diretores do Banco Central
A preocupação com a segurança digital escalou para o topo das prioridades da diretoria colegiada do BC. Em eventos recentes promovidos pela autoridade monetária, a cúpula da instituição não escondeu a gravidade do cenário.
O diretor de Administração do BC, Rodrigo Teixeira, destacou que o sucesso do Pix também ampliou a superfície de contato para os riscos:
"Infraestruturas como o Pix e o Sistema de Transferência de Reservas (STR) tornaram-se elementos cotidianos e críticos da vida econômica do país. Esse avanço criou inclusão, eficiência e competitividade, mas também ampliou nossa exposição a riscos."
Já o diretor de Fiscalização, Ailton Aquino, foi ainda mais enfático ao admitir o peso psicológico e operacional da pauta, garantindo que a agenda de endurecimento normativo não vai parar:
"Eu acho que nós tivemos um aumento de incidentes cibernéticos, que demonstra que a materialização desse risco é um risco que tira meu sono, como diretor de fiscalização, e agora também acho que tira o sono de todos os membros da diretoria colegiada. O que nós esperamos é que os riscos sejam muito bem mapeados e os controles implementados e testados de forma periódica, independentemente do dia, da data e do horário."
Impacto no Mercado: Sobrevivência regulatória vs. Inovação
Para Tiago Severo, advogado especialista em regulação financeira e sócio do escritório Panucci, Severo e Nebias Advogados, a discussão marca o início de uma nova era para a ferramenta de pagamentos mais popular do Brasil. O Pix deixou de ser apenas um meio conveniente para se transformar em uma infraestrutura crítica da economia nacional.
De acordo com o especialista, modular o acesso das instituições conforme o seu nível de maturidade digital é o caminho correto, mas exige cautela.
-
Para bancos e fintechs: Temas como governança tecnológica, auditoria de código, planos de resposta a incidentes e rigor na contratação de fornecedores terceirizados deixam de ser burocracia e passam a ser uma questão de "sobrevivência regulatória".
-
Para os consumidores: A tendência é amplamente positiva, visto que a blindagem do sistema reduz as chances de fraudes em massa e sequestro de fundos.
-
O desafio do BC: O advogado alerta que a calibragem dessa nova norma será essencial. Regras rígidas demais correm o risco de asfixiar as fintechs menores, gerando uma concentração de mercado indesejada nos grandes bancos e freando a inovação que transformou o Pix em um case de sucesso global.
O Banco Central deve abrir rodadas de discussão com representantes do setor financeiro e de tecnologia antes de publicar a resolução definitiva, buscando o equilíbrio exato entre a segurança cibernética intransigente e a competitividade do mercado.