Nos últimos meses, o sistema financeiro brasileiro foi alvo de sofisticados ataques cibernéticos que acenderam um alerta vermelho nas instituições reguladoras. Em resposta, o Banco Central anunciou nesta semana uma série de medidas urgentes para reforçar a segurança digital das operações bancárias e, principalmente, das transações via Pix.
🚨 Entenda o que aconteceu
O alerta veio após dois episódios graves:
-
Julho de 2025: A empresa C&M Software, que conecta instituições financeiras aos sistemas do Banco Central, sofreu um ataque cibernético que permitiu o desvio de aproximadamente R$ 1 bilhão de contas reservas de pelo menos oito instituições.
-
Agosto de 2025: Outra invasão comprometeu a Sinqia, uma das fornecedoras da infraestrutura do Pix, e causou o desvio de R$ 420 milhões, afetando diretamente bancos como o HSBC e a Artta.
Apesar de os sistemas internos do Banco Central e do Pix não terem sido diretamente invadidos, os ataques expuseram vulnerabilidades graves nos chamados PSTIs (Provedores de Serviços de Tecnologia da Informação) — empresas terceirizadas que fazem a ponte entre bancos e o sistema do BC.
🛡️ O que muda com as novas medidas?
Diante da gravidade dos incidentes, o Banco Central anunciou no dia 5 de setembro um pacote de ações emergenciais com foco em segurança, regulação e controle. Confira os principais pontos:
1. Limite de transações para instituições não autorizadas
Instituições de pagamento conectadas via PSTI e ainda não autorizadas formalmente pelo BC terão um limite máximo de R$ 15 mil por transação (Pix ou TED). O objetivo é evitar grandes perdas em caso de novos ataques. Esse limite poderá ser suspenso se a instituição comprovar medidas de segurança adicionais.
2. Prazo encurtado para regularização
O prazo para que essas instituições obtenham autorização do BC, antes previsto para dezembro de 2029, foi antecipado para maio de 2026. Ou seja, quem quiser continuar operando precisa se regularizar bem antes do previsto.
3. Novas exigências para empresas terceirizadas (PSTIs)
Apenas PSTIs com nível elevado de segurança (classificadas nos segmentos S1 a S4, excluindo cooperativas) poderão atuar em nome de instituições não autorizadas. Os contratos atuais terão até 180 dias para se adaptar às novas regras.
4. Certificações técnicas obrigatórias
O BC poderá exigir laudos técnicos emitidos por empresas independentes comprovando que a infraestrutura de TI atende aos requisitos mínimos de segurança. Caso a empresa falhe nesse critério, poderá ser descredenciada e obrigada a encerrar suas atividades em 30 dias.
5. Capital mínimo reforçado
PSTIs deverão possuir um capital mínimo de R$ 15 milhões e atender a padrões mais rigorosos de governança e gestão de riscos. O prazo para adequação é de 120 dias.
🔐 Por que isso importa?
O sistema financeiro brasileiro é um dos mais avançados digitalmente no mundo — com destaque para o sucesso do Pix. Mas como qualquer sistema digital, ele depende de uma estrutura robusta de cibersegurança.
Os ataques recentes mostraram que, mesmo com sistemas centrais protegidos, a fragilidade de terceiros pode comprometer todo o ecossistema. As medidas do Banco Central têm o objetivo claro de “fechar a porta dos fundos” e garantir que a confiança no sistema permaneça intacta.
💡 O que esperar daqui pra frente?
Especialistas acreditam que esse movimento do BC é apenas o começo de uma nova fase de regulação no setor financeiro digital. Além de segurança, o debate agora deve incluir:
-
Maior transparência das instituições quanto à sua estrutura tecnológica;
-
Incentivo à certificação independente de sistemas;
-
E, possivelmente, a criação de um selo de segurança digital obrigatório para empresas que operam com dados financeiros sensíveis.
