Banco Central estuda limitar o Pix de instituições com falhas de segurança

Bancos, fintechs e empresas de tecnologia com falhas de segurança poderão ter o acesso ao Pix limitado ou até suspenso. A mudança estaria em estudo no Banco Central e não representa, até agora, uma nova restrição geral para quem usa o Pix no celular.

A distinção é importante: as medidas relatadas atingiriam as instituições que operam a infraestrutura do sistema, e não diretamente os clientes dessas empresas.

Entre as possibilidades mencionadas estão a imposição de limites de valores e horários, o bloqueio do registro de novas chaves e, em situações consideradas mais graves, a suspensão temporária do acesso ao sistema. As punições seriam aplicadas conforme o histórico de incidentes e a qualidade dos controles de segurança de cada participante.

Nenhuma dessas medidas específicas, porém, apareceu até a publicação desta matéria em resolução, comunicado normativo ou consulta pública do Banco Central. Portanto, elas devem ser tratadas como propostas em avaliação, e não como regras já aprovadas.

O que pode mudar para o usuário

Na prática, um cliente poderia encontrar limitações caso seu banco ou fintech fosse enquadrado pelo BC como participante de risco. Dependendo da medida adotada, a instituição poderia enfrentar:

  • teto menor para determinadas transações;
  • restrição de operações em certos horários;
  • impedimento de cadastrar novas chaves;
  • suspensão de parte ou de toda a operação no Pix.

Isso não significa que todos os usuários terão novos limites, nem que o Banco Central pretende reduzir o valor permitido para qualquer transferência.

O objetivo relatado é permitir uma reação mais rápida contra instituições com controles frágeis, sem esperar a conclusão de processos administrativos mais longos.

O ponto fraco pode estar fora do banco

O debate ganhou força porque os ataques mais graves nem sempre tentam invadir diretamente os sistemas dos grandes bancos. Criminosos podem buscar prestadoras terceirizadas que conectam instituições menores à infraestrutura financeira.

Essas empresas funcionam como pontes tecnológicas: processam mensagens, integram sistemas e permitem que bancos, cooperativas e fintechs se comuniquem com redes como o Sistema de Pagamentos Instantâneos, responsável pela liquidação do Pix.

Esse modelo cria um risco de cadeia. Uma prestadora vulnerável pode abrir acesso indireto a várias instituições ao mesmo tempo, mesmo quando o aplicativo usado pelo cliente não apresenta uma falha visível.

O próprio Banco Central reconheceu que o avanço de ataques do crime organizado contra instituições financeiras e de pagamento exigiu novas medidas de proteção ao longo de 2025. O relatório institucional da autarquia descreve um “aumento expressivo” dessas investidas.

Em abril de 2026, o BC também promoveu um fórum dedicado à resiliência de provedores críticos. No encontro, a autoridade monetária afirmou que infraestruturas como o Pix e o Sistema de Transferência de Reservas se tornaram essenciais para a economia, mas ampliaram a exposição do país a riscos cibernéticos.

Caso C&M expôs o risco dos intermediários

Um dos episódios que colocou esse tipo de fornecedor sob escrutínio foi o ataque à C&M Software, empresa usada por instituições para acessar sistemas financeiros.

O Metrópoles atribui ao caso um desvio próximo de R$ 800 milhões. Outras fontes, como a Reuters, publicaram estimativas menores, superiores a R$ 400 milhões. 

A divergência ajuda a mostrar uma dificuldade comum em incidentes financeiros: os primeiros valores divulgados podem misturar recursos movimentados, bloqueados, recuperados ou efetivamente desviados.

O fato central, contudo, é menos controverso. O ataque não teve como alvo o aplicativo Pix instalado no celular do consumidor, mas um elo tecnológico usado por participantes do sistema.

BC já impôs limite a instituições consideradas mais arriscadas

A ideia de modular o acesso conforme o risco da instituição não seria totalmente inédita.

Regras apresentadas pelo Banco Central no Fórum Pix de outubro de 2025 previram que instituições de pagamento não autorizadas e participantes conectados à Rede do Sistema Financeiro Nacional por determinados prestadores de tecnologia só poderiam iniciar transações de até R$ 15 mil. A aplicação foi prevista para março de 2026, com exceções para participantes ligados a prestadores já credenciados.

Esse detalhe muda a leitura da possível nova medida: em vez de criar uma trava única para todo o Pix, o BC pode ampliar uma lógica que já apareceu na regulamentação, conceder acesso mais amplo a quem comprova controles adequados e impor barreiras adicionais a participantes com maior exposição.

Em setembro de 2025, o Banco Central também determinou que instituições de pagamento só poderiam começar a operar após autorização prévia, como parte de um pacote para reforçar a segurança do Sistema Financeiro Nacional.

O que ainda não está confirmado

Até agora, não foram divulgados publicamente os critérios que definiriam uma instituição como insegura, a duração de uma eventual suspensão ou o procedimento usado para restaurar o acesso.

Também não está claro se as limitações seriam aplicadas automaticamente após um incidente, por decisão da área de fiscalização ou somente depois de uma avaliação técnica individual.

Sem uma norma oficial, não é possível afirmar quando, ou mesmo se, essas propostas entrarão em vigor.

O cenário confirmado é mais limitado: o Banco Central vem endurecendo as exigências para participantes do Pix, reconhece o aumento dos riscos cibernéticos e já adotou limites diferenciados para algumas categorias de instituições. A nova camada de restrições, no entanto, permanece no campo das medidas relatadas como estando em estudo.

Leia mais

Economia
Boletim Focus: mercado reduz expectativa de inflação para 5,16%
Variedades
Fotografia feita há 17 anos inspira campanha vencedora do Leão de Ouro
Variedades
Cachorro ‘ator’ finge dormir e vídeo fofo conquista a internet
Variedades
Ator Rui Rezende morre aos 87 anos, no Rio de Janeiro
Variedades
Nem inseticida forte nem vela cara: a planta com cheiro de rosa e limão que pode ajudar a afastar mosquitos em casa
Economia
Cidade do Rio proíbe publicidade de bets em espaços públicos

Mais lidas hoje