Pix com mudanças? Entenda o que BC estuda sobre o mecanismo

Autoridade monetária avalia restringir acesso de instituições com falhas de segurança ao Pix após sequência de ataques cibernéticos

O Banco Central (BC) estuda impor restrições ao uso do Pix por bancos e fintechs que apresentem fragilidades em segurança cibernética.

A medida ocorre após uma sequência de ataques hackers que expuseram vulnerabilidades no sistema financeiro, principalmente em instituições menores e empresas de tecnologia que fazem a conexão com a infraestrutura do Pix.

  
Pix: novas regras vão facilitar devolução de valores em casos de golpe Agência Brasil
 
 
 

Entre as propostas em análise estão limites para valores e horários de transações, além da possibilidade de impedir o registro de novas chaves por instituições consideradas de risco. Em casos mais graves, o acesso ao sistema pode até ser suspenso.

A intenção do BC é atuar de forma preventiva, com respostas mais rápidas do que as previstas hoje nos processos administrativos.

O debate ganhou força após ataques recentes que resultaram em prejuízos bilionários. Nos últimos 12 meses, desvios ligados a fraudes cibernéticas já superaram R$ 1,5 bilhão, segundo estimativas do mercado.

Em geral, os criminosos não atacam diretamente os grandes bancos, mas exploram pontos mais frágeis da cadeia, como fintechs e prestadoras de serviços de tecnologia, responsáveis por conectar instituições ao sistema do BC.

Ataques cibernéticos

Um dos episódios que mais chamou atenção foi o ataque à C&M Software, no ano passado, que desviou cerca de R$ 800 milhões e acendeu o alerta sobre riscos em empresas intermediárias. Casos como esse reforçaram a avaliação de que, embora o Pix em si seja robusto, a segurança do sistema depende também do nível de proteção adotado por todos os participantes.

Mesmo após o BC endurecer regras de segurança cibernética ao longo de 2025, o número de incidentes continuou elevado.

No mês passado, uma fintech foi algo de tentativa de ataque hacker e o BC chegou a emitir um alerta aos participantes do Sistema de Pagamentos Instantâneos (SPI), informando sobre o ocorrido. Além disso, a MagaluPay, da varejista Magazine Luiza, também sofreu uma tentativa de ataque.

A proposta em discussão também prevê uma espécie de tratamento diferenciado entre instituições. Ou seja, participantes com histórico de falhas ou com controles considerados insuficientes poderiam operar sob restrições, enquanto bancos e fintechs com padrões mais elevados manteriam acesso pleno ao Pix.

Para o BC, a medida busca elevar o nível mínimo de segurança do sistema e incentivar investimentos em tecnologia e proteção digital. A avaliação é de que, sem esse tipo de pressão regulatória, parte do mercado pode continuar operando com estruturas mais vulneráveis, ampliando o risco sistêmico.

Em evento promovido pela autoridade monetária, o diretor de Administração do BC, Rodrigo Teixeira, defendeu que a pauta de segurança cibernética é fundamental para a saúde do Sistema Financeiro Nacional (SFN).

“Infraestruturas como o Pix e o Sistema de Transferência de Reservas (STR) tornaram-se elementos cotidianos e críticos da vida econômica do país, avanço que criou inclusão, eficiência e competitividade, mas também ampliou nossa exposição a riscos”, disse.

No mesmo evento, o diretor de Fiscalização, Ailton Aquino, afirmou que o risco cibernético é um dos assuntos que mais engajam as equipes do BC

“A agenda normativa de cibersegurança do BC vai continuar. O que nós esperamos é que os riscos sejam muito bem mapeados e os controles implementados e testados de forma periódica, independentemente do dia, da data e do horário”, avaliou.

Em outra ocasião, durante a apresentação do Relatório de Estabilidade Financeira, Aquino afirmou que ataques “tiram o sono dos membros da diretoria”.

“Eu acho que nós tivemos um aumento de incidentes cibernéticos, que demonstra que a materialização desse risco, que é um risco que tira meu sono, como diretor de fiscalização, e agora também acho que tira o sono de todos os membros da diretoria colegiada”, afirmou.

Entenda o ataque conhecido como “roubo do ano”

Riscos ao Pix

Desde o lançamento, em 2020, o Pix se tornou o principal meio de pagamento do país, com bilhões de transações mensais. A rápida adoção trouxe ganhos de eficiência e inclusão financeira, mas também aumentou o interesse de criminosos, que passaram a desenvolver ataques cada vez mais sofisticados.

Nos últimos anos, o BC já adotou medidas para reduzir fraudes, como limites para transferências noturnas e o Mecanismo Especial de Devolução (MED).

As novas regras, porém, representam um passo além ao focar não apenas no comportamento das transações, mas na estrutura das instituições participantes.

A expectativa é que as mudanças sejam discutidas com o mercado antes de eventual implementação. O desafio do regulador será equilibrar segurança e inovação, evitando brechas para fraudes sem comprometer o funcionamento e a competitividade do sistema.

Com isso, o BC tenta blindar o Pix contra novos episódios de grande impacto e reforçar a confiança em um dos pilares do sistema financeiro brasileiro.

Para o advogado especialista em regulação financeira e sócio do Panucci, Severo e Nebias Advogados, Tiago Severo, a discussão marca uma nova fase do Pix, que deixou de ser apenas um meio de pagamento eficiente e passou a ser uma infraestrutura crítica da economia brasileira.

De acordo com ele, é preciso que o BC avalie restringir ou modular o acesso de instituições que não consigam demonstrar padrões mínimos de segurança cibernética, governança tecnológica e gestão de terceiros.

“Para bancos e fintechs, o impacto é relevante, segurança, tecnologia, auditoria, resposta a incidentes e controle de fornecedores passam a ser temas de sobrevivência regulatória. Para consumidores, a tendência é positiva, porque aumenta a proteção do sistema. Mas a calibragem será essencial para evitar concentração de mercado e preservar a inovação que fez do Pix um caso de sucesso no Brasil”, disse.