Na esteira de uma série de ataques cibernéticos envolvendo instituições financeiras e de pagamento, o Banco Central do Brasil anunciou em 5 de setembro de 2025 um pacote emergencial de medidas voltadas à segurança do Sistema Financeiro Nacional.
As novas regras atingem principalmente fintechs, instituições de pagamento (IPs) não autorizadas e empresas que atuam como Prestadoras de Serviços de Tecnologia da Informação (PSTIs).
Por que o BC apertou as regras agora?
Segundo a nota oficial, o motivo é claro: ações recentes do crime organizado afetaram diretamente operações de pagamento e instituições conectadas à Rede do Sistema Financeiro Nacional. Diante disso, o BC resolveu agir com firmeza e rapidez para proteger o ecossistema e os usuários.
O que muda com as novas regras?
Abaixo estão os principais pontos anunciados pelo Banco Central:
1. Limite de R$ 15 mil por transação para Pix e TED
-
Fintechs não autorizadas e instituições conectadas via PSTIs passam a ter limite de R$ 15.000 por operação de Pix ou TED.
-
Esse limite poderá ser retirado caso a IP e seu PSTI comprovem conformidade com os novos controles de segurança da informação.
-
Exceção transitória: empresas que atestarem o uso de controles poderão ser dispensadas do limite por até 90 dias.
2. Autorização obrigatória para operar
-
A partir de agora, nenhuma instituição de pagamento poderá operar sem autorização prévia do BC.
-
O prazo final para empresas não autorizadas solicitarem regularização foi antecipado de dezembro de 2029 para maio de 2026.
3. Regras mais rígidas para o uso do Pix
-
Apenas instituições integrantes dos segmentos S1, S2, S3 ou S4 (exceto cooperativas) poderão ser responsáveis pelo Pix de fintechs não autorizadas.
-
Contratos vigentes deverão ser ajustados em até 180 dias.
4. Possibilidade de exigência de certificação técnica
-
O BC poderá solicitar laudos de avaliação técnica emitidos por empresas independentes qualificadas para comprovar que a instituição cumpre os requisitos de segurança.
5. Fim das operações em caso de indeferimento
-
Caso uma IP em operação tenha o pedido de autorização negado, deverá encerrar suas atividades em até 30 dias.
6. Regras mais duras para PSTIs
-
PSTIs agora precisam atender a novos critérios de governança e gestão de riscos.
-
Foi estabelecido um capital mínimo de R$ 15 milhões.
-
O descumprimento poderá acarretar medidas cautelares ou até mesmo descredenciamento.
-
Empresas já em atividade terão quatro meses para se adequar.
Qual o impacto prático para o setor de fintechs?
Essas medidas não são simbólicas — elas têm efeito imediato, mudam regras operacionais importantes e pressionam o mercado a profissionalizar sua estrutura de segurança da informação.
Se você é empreendedor, gestor ou parceiro de uma empresa que atua como IP ou white-label bancário, vale revisar imediatamente:
-
Se a sua estrutura está operando com PSTI autorizado;
-
Se os fluxos de Pix e TED obedecem aos novos limites temporários;
-
Se há plano de regularização até maio de 2026;
-
Se seus contratos e parceiros estão preparados para auditorias externas e exigências do regulador.
Conclusão
O recado do Banco Central é claro: segurança agora é prioridade absoluta no setor financeiro, e não haverá mais espaço para operações informais, sem controle técnico ou regulação efetiva.
As fintechs que quiserem escalar com solidez e longevidade precisarão construir suas bases sobre compliance, transparência e resiliência cibernética.