O Banco Central estuda aplicar restrições de acesso ao Pix a instituições que apresentarem fragilidade em requisitos de segurança cibernética. O órgão busca, com a adoção de medidas preventivas, reforçar a segurança do sistema financeiro nacional após ataques hackers que provocaram desvios milionários de recursos desde o ano passado.
LEIA TAMBÉM
Quem não cumprir os requisitos mínimos exigidos pelo BC ficará sujeito a sanções como limites de horário, dias ou valores para a realização de transações via Pix ou proibição de registrar novas chaves no sistema de pagamentos instantâneos, por exemplo.
A discussão sobre restrições de acesso ao Pix foi antecipada pelo jornal O Globo e confirmada pela reportagem. Hoje, o principal alvo do BC são os descumprimentos ao regulamento do Pix.
Nenhuma medida preventiva pode ser diretamente aplicada no caso de instituições que não implementaram mecanismos de segurança obrigatórios para mitigação de risco cibernético.
Atualmente, pelas regras em vigor, o órgão precisa instaurar processos de penalidade, que podem resultar na aplicação de multas. No entanto, segundo um técnico ouvido pela reportagem, esses processos são burocráticos, lentos e normalmente acabam judicializados.
Ao fazer ajustes na regulação, o BC quer deixar mais claro que medidas prudenciais preventivas podem ser aplicadas pela área de supervisão. Com isso, o regulador pretende "incentivar" as instituições a investirem mais recursos em segurança cibernética.
O novo arcabouço regulatório continua em discussão pela equipe técnica e deve levar alguns meses para ser consolidado.
Enquanto avalia as mudanças, o BC iniciou um pente-fino no sistema e enviou um questionário a todas as instituições reguladas para autoavaliação do perfil de riscos e de controles de aspectos relacionados à tecnologia da informação.
Foram feitas mais de 400 perguntas, que abordam a estrutura de funcionários alocados para as atividades de tecnologia, o uso de IA (inteligência artificial) e medidas para mitigar exposição de dados pessoais relacionadas a chaves Pix, por exemplo.
A partir das respostas, a autoridade monetária vai analisar quais instituições já poderão ter as medidas cautelares aplicadas, considerando o novo arcabouço em discussão.
No ano passado, o BC anunciou um pacote de medidas visando reforçar a segurança do sistema financeiro após uma série de ataques que colocaram o órgão sob pressão. Em 2025, os desvios somaram cerca de R$ 1,5 bilhão ao todo -uma fatia foi recuperada.
O caso mais emblemático ocorreu em junho de 2025, envolvendo a empresa C&M Software, que presta serviços de tecnologia para instituições do setor financeiro. Na ocasião, houve desvio de cerca de R$ 813 milhões de contas usadas por bancos e instituições de pagamento para gerenciar transferências do Pix.
Esse ataque foi o maior evento do tipo já registrado no Brasil, segundo a principal empresa brasileira de segurança cibernética, o Grupo FS.
Depois disso, o BC implementou um limite de R$ 15 mil no valor das operações de TED e Pix para instituições que se conectam ao sistema financeiro por meio dos chamados PSTIs (Prestadores de Serviços de Tecnologia da Informação). Além disso, promoveu mudanças no regulamento do Pix para apertar regras de penalidades.
+Lidas