Banco Central anuncia medidas de segurança e limita Pix e TED a R$ 15 mil para instituições sem licença

Segundo o BC, a limitação poderá ser removida quando o participante e seu respectivo prestador de serviço atenderem aos novos processos de controle de segurança que foram anunciados nesta sexta. Transitoriamente, os participantes que atestarem ao BC a adoção de controles de segurança da informação poderão ser dispensados da limitação por até 90 dias. A medida entra em vigor imediatamente.

— Por que R$ 15 mil? Porque 99% das transações de Pix ou TED de pessoas jurídicas (PJ) estão abaixo de R$ 15 mil. Se eu fosse falar de pessoa física, esse valor seria de R$ 3.700. É uma folga bastante boa. Apenas 1% de PJ se encaixa nesse valor de R$ 15 mil. Qual é o tamanho do universo de provedores de tecnologia e de contas de instituições de pagamento não autorizadas? É 3% do total de contas existentes no sistema — disse o presidente do Banco Central, Gabriel Galípolo.

Segundo ele, nos útlimos ataques contra o sistema, os volumes de Pix e de TED que se tentam fazer são bastante altos:

— Ao se restringir os volumes, vai forçar a necessidade, para fazer ataque, um volume de operações maior, o que tende a ser identificado mais rápido.

Atualmente, há 142 instituições que aguardam análise do processo de autorização dentro do BC, sendo 72 instituições de pagamento. A expectativa é de que ainda este ano outras 14 IPs entrem com o pedido de licença e, no ano que vem, 76. Além disso, 250 instituições usam PSTI atualmente.

Nos últimos meses, tem ficado cada vez mais claro que grupos criminosos têm se aproveitado de brechas no sistema para desviar recursos, via fraudes ou transações ilícitas.

Dois episódios recentes de ataque a sistemas de empresas de tecnologia que conectam instituições financeiras ao Pix desviaram mais de R$ 1,5 bilhão de recursos de bancos e fintechs — uma parte bloqueada pelo BC. Além disso, investigações policiais mostram uma infiltração crescente de facções criminosas no sistema financeiro, sobretudo nas novatas.

Rogério Lucca, secretário-executivo do BC, explicou que o limite de transferência não será regulatório, mas que os sistemas do Banco Central vão travar as transações dessas instituições que superarem R$ 15 mil.

— Isso é uma coisa relativamente nova. Não é um comando legal, mas no sistema — reforçou Galípolo. — Por enquanto, o limite é esse de R$ 15 mil por transação. Podemos avançar para outras formas de limitação.

Como mostrou o GLOBO, o BC vai apertar as regras para instituições de pagamento e provedoras de tecnologia, empresas que interligam o sistema de bancos e fintechs à rede do BC para realizar as transações financeiras.

Com a nova medida, o BC irá demandar que todas as Instituições de pagamento (IPs) entrem com o processo de autorização até maio do ano que vem. Essa antecipação já estava valendo para os participantes do Pix e agora será ampliada para todo o mercado, cujo o prazo final antes era 2029.

Além disso, em medida que deve ser anunciada nos próximos meses, o BC deve aumentar o capital mínimo exigido para que IPs possam entrar com processo de autorização no órgão, que deve subir para algo como R$ 7 milhões. Segundo o diretor de Regulação, Gilneu Vivan, a ideia é alterar a lógica de cobrança do capital mínimo, que hoje é por tipo de instituição, para o número de atividades ofertadas.

Atualmente, para IPs de moeda eletrônica, aquelas que oferecem contas de pagamento, o capital mínimo exigido é de R$ 2 milhões. Para participar do Pix, sobe para R$ 5 milhões. Para iniciadores de pagamento, é de R$ 1 milhão.

— IPs que têm três tipos de atividade terão exigência de capital mínimo diferente daquelas com apenas uma.

• As IPs são o tipo de fintech que mais se assemelha aos bancos, ainda que tenham o escopo de atuação reduzido — por exemplo, não podem conceder crédito.
• Elas começaram a atuar no mercado em 2013, oferecendo uma espécie de conta-corrente simplificada (conta de pagamento), sem necessidade de aval do BC.
• O objetivo do regulador era impulsionar a competição no mercado financeiro, na época altamente concentrado nos cinco maiores bancos do país.
• Com o crescimento forte das novatas, o BC foi aumentando as cobranças gradualmente. Em 2021, passou a ser obrigatório o pedido de autorização para o funcionamento, mas foi definido um cronograma de adequação, com base no tamanho da instituição, que até então só terminaria em 2029.
• As IPs sem licença participam do Pix sob a tutela de uma instituição autorizada e estão sujeitas a uma supervisão mínima.
• Mas, na prática, até meados deste ano, quando o BC passou a cobrar informações de transações e clientes, o regulador não tinha visibilidade sobre essas empresas que atuam no Pix sem autorização.

Agora, o BC determinou que somente integrantes do segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. Os contratos vigentes deverão ser adequados em até cento e oitenta dias.

Como o percentual de IPs sem licença dentro do Pix é pequeno, a expectativa é que o impacto sobre o consumidor de uma eventual redução de participantes não seja grande. Mas, neste momento, o BC entende que a solidez do sistema financeiro precisa ter preponderância sobre a eficiência.

O cronograma extenso para autorização de IPs foi definido com base na capacidade estrutural do BC, que vem passando por uma redução importante de orçamento e de pessoal na última década. Agora, para conseguir dar conta de analisar todos os pedidos, o BC deve criar a possibilidade de a área de autorização solicitar outros subsídios para analisar o pleito, como certificações prévias de empresas independentes ou auditorias.

Outra iniciativa do pacote para fortalecer a segurança no sistema financeiro prevê a retirada mais célere das instituições em funcionamento que tenham a licença recusada. Hoje, os bancos e fintechs com um pedido indeferido têm de apresentar um plano de saída ordenada que pode demorar meses. A ideia é limitar esse período.

“O BC poderá requerer certificação técnica ou avaliação emitida por empresa qualificada independente que ateste o cumprimento dos requisitos autorizativos. A instituição de pagamento que já estiver prestando serviços e tenha seu pedido de autorização indeferido deverá encerrar suas atividades em até 30 dias. A vigência da medida é imediata”, disse o BC, em nota.

O BC também vai atacar dentro do primeiro pacote de medidas a fragilidade identificada nas provedoras de tecnologia que conectam os sistemas de fintechs e bancos menores às redes do BC. Em dois meses, dois ataques aos sistemas dessas prestadoras de serviços — a Sinqia e a C&M Software — geraram um desvio de mais de R$ 1,5 bilhão, parte bloqueada pelo BC.

Essas prestadoras de serviço são credenciadas pelo órgão, mas não passam por um processo de autorização como os bancos e instituições de pagamento, têm apenas uma avaliação técnica do departamento de tecnologia de informação.

Como os episódios recentes evidenciaram que essas empresas se tornaram “terceiro críticos” para o sistema, a ideia é que tenham que seguir critérios mais rígidos, como exigência de capital mínimo, requisitos de operação, processo de supervisão e detalhamento das penalidades cabíveis.

Segundo interlocutores, os últimos ataques ao Pix deixaram muito claro a vulnerabilidade das empresas que interligam as redes de BC e instituições para realizar as transações.

Suspeita-se que as prestadoras de serviços, que deveriam se ater à integração de sistemas, estão tendo acesso às chaves de transação, que dá início à transferência, que é de posse exclusiva das instituições reguladas pelo BC.

De acordo com pessoas com conhecimento no assunto, o ideal, do ponto de vista da segurança, seria que cada instituição tivesse sua própria ligação com o BC, mas seria inviável do ponto de vista do custo.

Um dos instrumentos mais utilizados pelo os criminosos é a conta bolsão, que é normalmente aberta em nome de uma fintech e reúne recursos de variados clientes, sem transparência sobre quem são os reais beneficiários do dinheiro. Segundo as investigações, esse instrumento vem sendo utilizado por facções criminosas para ocultar a origem ilícita do dinheiro.

Nesse caso, o entendimento no BC é de que a regulamentação em vigor já proíbe esse instrumento. Pelas regras do BC, os bancos ou fintechs onde estão as contas bolsão precisam ter conhecimento não só do cliente direto, mas também dos terceiros.

Além disso, o assunto será tratado na regulamentação de banking as a service (BaaS), que está no forno, que deixa bem claro que os recursos das contas têm de ser segregados. Mas o regulador ainda estuda se novas medidas serão necessárias.