ADRIANA FERNANDES E NATHALIA GARCIA
BRASÍLIA, DF (FROLHAPRESS) – O Banco Central estuda ampliar o prazo de bloqueio de transações de grandes somas de dinheiro para que as instituições tenham um tempo maior de análise dessas operações. Essa é uma das novas medidas emergenciais discutidas pela autarquia para fechar brechas usadas por hackers em ataques e reforçar a segurança do sistema financeiro.

Pela regra atual, uma operação a partir de um determinado valor, definido pelo banco levando em conta o perfil do cliente, pode ficar cerca de uma hora na espera até ser efetivada.

A ideia é aumentar esse intervalo para que as instituições possam checar a origem dos recursos que serão transferidos e ter certeza de que se trata de dinheiro lícito. Seguem em discussão tanto o tempo de análise quanto o valor a ser enquadrado nessa medida.

A expectativa é que essa mudança seja aprovada no próximo mês. Antes disso, o BC deve anunciar novidades com relação ao Pix. Na próxima semana, está prevista a atualização do regulamento e do manual de penalidades do sistema de pagamentos instantâneos. Também devem ser anunciadas outras iniciativas numa segunda etapa do pacote de medidas de proteção ao sistema.

Uma delas é impedir que uma transferência seja efetivada para uma conta associada a uma chave Pix que conste como bloqueada no DICT (Diretório de Identificadores de Contas Transacionais) -a base de dados do BC que armazena as chaves Pix. Isso significa que essa operação seria automaticamente inviabilizada após a constatação do bloqueio.

Outra mudança é a expansão do bloqueio cautelar para pessoas jurídicas nas operações via Pix. Esse mecanismo permite ao banco bloquear os recursos na conta do cliente que recebeu o dinheiro em caso de suspeita de fraude, para que seja feita uma análise mais aprofundada da operação. A regra é válida hoje para contas de pessoa física.

Como mostrou a Folha de S.Paulo, o objetivo é reduzir fraudes envolvendo contas abertas por MEIs (Microempreendedores Individuais). Discute-se associar a operação fraudulenta à pessoa física por trás da microempresa, de forma a coibir a atuação dos infratores.

Além disso, estará disponível, a partir de 23 de novembro (para uso facultativo), um aperfeiçoamento do MED (Mecanismo Especial de Devolução), usado pelos brasileiros para pedir a devolução de um Pix após serem vítimas de golpe, fraude ou coerção. A funcionalidade será obrigatória aos participantes do Pix a partir de 2 de fevereiro de 2026.

O sistema atual analisa só a primeira conta que recebeu a transferência, mas criminosos pulverizam o valor rapidamente em várias contas. Com o chamado MED 2.0, as instituições deverão rastrear o trajeto do dinheiro ao longo de mais níveis de transferências. Com isso, a autoridade monetária espera facilitar a identificação do fluxo dos recursos e, consequentemente, ajudar as autoridades a localizar mais rapidamente os criminosos.

O aperto em brechas tecnológicas e regulatórias que fragilizam a segurança do sistema financeiro já constava na agenda regulatória do BC para este ano, mas o tema ganhou mais urgência depois dos ataques hackers que provocaram desvios milionários de recursos.

A orientação do presidente do BC, Gabriel Galípolo, é acelerar a implementação do próximo ciclo de medidas regulatórias emergenciais e estruturantes com cautela para não prejudicar a agenda de inovação nem inibir maior concorrência no sistema bancário brasileiro, que permitiu o desenvolvimento do Pix, das fintechs e maior bancarização da população de renda mais baixa.
A equipe de Galípolo está mapeando as vulnerabilidades do sistema para aplicar as medidas corretivas, buscando aumentar a robustez.

Um novo sistema de alertas de movimentações atípicas tem ajudado nesse trabalho, de acordo com pessoas a par do tema. Ele vem funcionando como uma sirene para os bancos e outras instituições reforçarem rapidamente os seus instrumentos de segurança.

Nos últimos dias, o Banco Central colocou em consulta pública, pelo período de 45 dias, dois normativos. O primeiro trata da criação de um indicador de liquidez de curto prazo simplificado e da ampliação do escopo de aplicação do indicador de liquidez de curto prazo, a fim de verificar se as instituições financeiras estão cumprindo os requisitos prudenciais.

“A proposta tem como objetivo fortalecer a capacidade das instituições financeiras de manter reservas de ativos líquidos para enfrentar períodos de escassez de liquidez, garantindo o cumprimento de obrigações, a continuidade das operações e a estabilidade do sistema financeiro”, disse o BC em nota.

O segundo visa ao aprimoramento da regulamentação do serviço de pagamento ou transferência internacional, conhecido como eFX.
Segundo as propostas do BC, o eFX passará a ser oferecido apenas por instituições autorizadas, que deverão reportar mensalmente ao regulador informações sobre as transações e as movimentações em reais do prestador. Prevê também que o serviço poderá viabilizar transferências relacionadas a investimentos no mercado financeiro e de valores mobiliários, limitadas ao equivalente a US$ 10 mil por transação.

Por meio dessa consulta pública, o BC também busca subsídios sobre a possibilidade de prestação do serviço de eFX por meio de BaaS (Banking as a Service) -a regulamentação desse setor também está sendo trabalhada pela autoridade monetária neste semestre.
Já a proposta que prevê criminalizar os CPFs (Cadastros de Pessoas Físicas) associados a contas laranja esbarra em alguns entraves dentro da autoridade monetária.

Um deles é o entendimento de que a medida depende de uma lei e que o BC não tem competência para obrigar uma instituição financeira a criminalizar um cliente. Outro ponto questionado é que a criminalização pode responsabilizar pessoas que, na verdade, foram vítimas de criminosos e não deveriam ter suas movimentações afetadas.

ATAQUES HACKERS
Neste ano, foram registrados até agora oito incidentes cibernéticos, com desvios que somam cerca de R$ 1,5 bilhão ao todo -cerca de R$ 850 milhões foram recuperados.

Dois deles ocorreram depois de 5 de setembro, quando o BC anunciou as primeiras medidas emergenciais para reforçar protocolos de segurança do sistema financeiro.

Em um dos casos mais recentes, o montante ficou em torno de R$ 10 milhões e, no outro, o valor foi pouco significativo. Um total de 15 instituições financeiras tiveram recursos desviados pelos hackers.
Os ataques se intensificaram após a megaoperação realizada contra a atuação do PCC (Primeiro Comando da Capital) em negócios regulares da economia formal, como os setores de combustíveis e o financeiro.

Os casos mais expressivos foram os ataques que atingiram a C&M Software, ocorrido em 30 de junho, e a empresa Sinqia, no fim de agosto.

Segundo relato feito à Folha, as instituições deram a “chave do cofre” para os prestadores de serviços de tecnologia acessarem as contas mantidas por elas no BC. Para coibir esse tipo de prática, o regulador vetou o compartilhamento com os prestadores de chaves privadas utilizadas para a assinatura das mensagens.

O sistema do Banco Central não foi comprometido em nenhum dos episódios. A rede do sistema de pagamentos é fechada e só as instituições autorizadas podem entrar. O BC tem a sua própria estrutura de computadores e armazenamento de dados.

Após o incidente de segurança envolvendo a C&M, o BC estabeleceu um novo processo interno de detecção de movimentações atípicas no Pix, oferecendo informações em tempo real para as instituições financeiras a fim de mitigar a ocorrência de novos ataques.

Nesta quinta (18), em seminário sobre crédito consignado na sede do Banco Central, em Brasília, Galípolo defendeu avanço na segurança, dizendo que esse tema é “inegociável” ao sistema financeiro.

“Antigamente, quando você via um assalto ao banco ou a um carro forte, conseguia enxergar que aquele era um caso que aconteceu especificamente naquele banco, hoje em dia, com a coisa virtual fica mais complexo e se confunde”, afirmou.

“O papel do Banco Central é ter a condição institucional e a coragem para se apresentar, para cooperar e estar junto dos demais Poderes para que a gente possa ter a melhor solução que existe para o cidadão e para a nossa população”, acrescentou.

NOVAS MEDIDAS PREVISTAS OU EM DISCUSSÃO PELO BC
Consultas públicas sobre requerimentos de liquidez de instituições financeiras e sobre serviços de pagamento ou transferência internacional (eFX); Atualização do regulamento e do manual de penalidades do Pix; Retorno de erro em consulta a chave Pix bloqueada na base de dados do BC, inviabilizando a transferência de recursos; Expansão do bloqueio cautelar para pessoas jurídicas nas operações via Pix; Ampliação do prazo de bloqueio de transações de quantias elevadas por instituições financeiras (tempo e valor em estudo); Aperfeiçoamento do MED (Mecanismo Especial de Devolução) para mapear melhor o fluxo de recursos desviados; Criação de normas para prestação de serviços no modelo BaaS (Banking as a Service); Regulamentação de contas-bolsão (abertas por fintechs de pequeno porte em bancos tradicionais e outras instituições de pagamento); Criminalização de CPFs (Cadastros de Pessoas Físicas) associados a contas laranja.

INICIATIVAS ANUNCIADAS RECENTEMENTE
Criação de limite de R$ 15 mil no valor das operações de TED e Pix para instituições de pagamento não autorizadas e para instituições que se conectam ao sistema financeiro por meio dos chamados PSTIs (Prestadores de Serviços de Tecnologia da Informação); Nenhuma instituição de pagamento pode começar a operar sem prévia autorização do BC; Prazo final para que instituições de pagamento não autorizadas solicitem aval para funcionamento ao BC foi antecipado de 2029 para maio do ano que vem; Aumento dos requisitos e controles para o credenciamento dos prestadores de serviços de tecnologia da informação, com exigência de capital mínimo de R$ 15 milhões Poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas somente integrantes dos segmentos S1 (porte maior ou igual a 10% do PIB), S2 (de 1% a 10% do PIB), S3 (de 0,1% a 1% do PIB) ou S4 (inferior a 0,1% do PIB) que não sejam cooperativas; Instituições financeiras passam a ser obrigadas a rejeitar pagamentos para contas suspeitas de envolvimento em fraudes.

Leia Também: Haddad não vai à ONU para acompanhar possível votação de isenção do IR