A pressão sobre a segurança do Pix, após uma sucessão de ataques cibernéticos que provocaram perdas estimadas em R$ 1,5 bilhão, levou o Banco Central a iniciar uma das maiores reformulações desde a criação do sistema de transferências instantâneas. Trinta e uma instituições que operam sem autorização direta da autoridade monetária terão de se adequar às novas normas ou deixarão de participar do ecossistema já em março de 2026. Outras 39 empresas do setor de pagamentos já conseguiram cumprir os requisitos.
Essas companhias atuam como participantes indiretos e dependem de contrato com bancos ou instituições que têm acesso direto ao Pix. A partir das novas regras, apenas entidades que apresentarem um formulário completo de avaliação de risco poderão assumir essa responsabilidade. O documento exige informações sobre movimentações, valores sob custódia e outros dados financeiros usados pelo Banco Central para medir a possibilidade de calote ou insolvência.
As cooperativas de crédito também deixaram de ter autorização para patrocinar a entrada de terceiros no sistema. Caso os participantes indiretos não encontrem um novo responsável até 4 de março de 2026, serão automaticamente desligados.
Novo foco: risco sistêmico e falhas de segurança
O Banco Central anunciou ainda que apresentará, no próximo ano, uma matriz de risco estruturada para identificar instituições com fragilidades operacionais ou de segurança. A iniciativa responde ao uso de contas de fachada mantidas por participantes indiretos nos ataques registrados entre junho e setembro, quando criminosos dispersaram valores desviados por meio dessas empresas.
Um dos casos de maior repercussão envolveu a Soffy, que recebeu cerca de R$ 270 milhões dos R$ 541 milhões subtraídos da BMP Moneyplus no fim de junho. A companhia teve sua participação no Pix suspensa. Em nota, afirmou que “a conta que recebeu esse valor não é de sua titularidade, e sim de um cliente parceiro — outra fintech, não revelada no comunicado”.
Participantes indiretos continuarão contemplados na norma
A ANBCB (Associação Nacional dos Analistas do Banco Central do Brasil) afirmou que, por ora, o enquadramento dos participantes indiretos permanece garantido. Segundo a entidade, “a manutenção desse enquadramento, sua eventual revisão ou novas condições técnicas dependerão exclusivamente das decisões futuras do Banco Central, conforme suas avaliações de risco, capacidade operacional e diretrizes de política pública”.
A discussão sobre o futuro dos participantes indiretos ocorre em paralelo à ampliação da agenda de segurança. No Fórum Pix de 4 de dezembro, o BC detalhou medidas previstas até 2026, que incluem dificultar o acesso ao sistema para pessoas com histórico de fraude e estabelecer critérios específicos para o funcionamento do Pix automático, modalidade voltada a pagamentos recorrentes.
Regras mais rígidas para o Pix automático
O Pix automático terá novas camadas de segurança a partir de novembro de 2026. Só poderão oferecer a ferramenta instituições consideradas adequadas pelo Banco Central. A exigência segue uma linha de ações adotadas neste ano, como o cadastro obrigatório de um aparelho para autorizar operações, o estabelecimento de limites de valor e a adesão opcional ao mecanismo especial de devoluções (MED), que se tornará obrigatório em 26 de fevereiro de 2026.
Nesse mesmo marco, haverá a ampliação do rastreamento de uma para cinco transações simultâneas e a obrigação de as instituições enviarem mensagens aos clientes sobre o andamento de pedidos de devolução quando houver bloqueio, liberação ou retorno de valores.
Devoluções crescem, mas índice de negativas dispara
O BC também definiu como prioridade a padronização de critérios para caracterização de fraude. Atualmente, a maior parte das recusas no MED decorre de falta de evidências concretas. Com o lançamento do autoatendimento do mecanismo, em que o usuário pode solicitar o estorno sem recorrer ao banco, o volume de pedidos triplicou. As negativas também aumentaram: de cerca de 70% para aproximadamente 80%.
Em outubro, primeiro mês completo da medida, foram registrados 3.496.163 pedidos de devolução, dos quais apenas 422 mil foram aceitos. No mês anterior, tinham sido 1.284.440 pedidos, com 308 mil aprovações.
Para lidar com a demanda crescente, o Banco Central desenvolve um indicador de probabilidade de fraude baseado em algoritmo de análise de dados, que servirá de base para decisões no MED a partir de 2026.
Agenda de segurança do Pix até 2026
2025
— Cadastro obrigatório de aparelho para execução de Pix
— Limite máximo de valor para transações
— Adesão opcional ao MED
Fevereiro de 2026
— MED obrigatório
— Ampliado rastreio de uma para cinco transferências
— Instituições passam a enviar mensagens sobre status de pedidos de devolução
Março de 2026
— Exclusão dos 31 participantes indiretos sem novo responsável (4 de março)
Julho de 2026
— Ampliação do escopo do MED
Novembro de 2026
— Novos critérios de segurança do Pix automático entram em vigor
Em desenvolvimento
— Matriz de risco para identificar falhas sistêmicas
— Indicador de probabilidade de fraude
— Critérios para fundada suspeita de fraude
— Restrições para usuários com histórico de fraude
Fonte: https://agendadopoder.com.br/com-reforco-na-seguranca-bc-pode-excluir-31-fintechs-do-pix/
