Após ataques, Banco Central endureceu regulação; para especialistas, teto vai reduzir o raio de impacto enquanto as instituições e os PSTIs se ajustam, efeito será mínimo
A decisão do Banco Central de impor limite de R$15 mil por transação em operações via Pix e TED para instituições não autorizadas não é vista como retrocesso, mas como um “freio de emergência” necessário para blindar o sistema. A avaliação é da Woovi , instituição de pagamento autorizada pelo BC. “O teto funciona reforça a segurança e reduz o raio de impacto enquanto as casas se ajustam. Como 99% das transações PJ ficam abaixo desse patamar, o efeito será mínimo e o ganho de resiliência deve ser imediato. Para nós, que já operamos como instituição autorizada, significa continuidade plena, sem qualquer restrição para nossos clientes, uma vez que já temos infraestrutura e governança conforme os requisitos do BC e não usamos PSTIs .”, afirma Sibelius Seraphini, CTO da Woovi .
O Banco Central anunciou as mudanças após ataques cibernéticos que exploraram vulnerabilidades em Prestadores de Serviços de Tecnologia da Informação (PSTIs), responsáveis por conectar bancos e fintechs à infraestrutura de pagamentos instantâneos. Pela posição central que ocupam, incidentes nesses provedores têm efeito em cascata, atingindo diversas instituições ao mesmo tempo. As novas regras impõem o limite por operação apenas a dois grupos: instituições de pagamento que não possuem autorização do BC e aquelas que acessam a Rede do Sistema Financeiro Nacional (RSFN) por meio de PSTIs. O alcance da medida, porém, é reduzido — segundo o regulador, apenas 3% das contas financeiras estão sujeitas à restrição, o que corresponde a 0,03% do total de contas ativas no país. A aplicação da regra foi imediata, diretamente nos sistemas do Pix (SPI) e de transferências (SPB).
Na prática, a medida pressiona os PSTIs, que passam a ter de atender a exigências de capital mínimo, certificações de segurança, auditoria independente e diretores responsáveis por cibersegurança e continuidade de negócios.
A Woovi defende que a nova regulação separa quem atua com maturidade operacional de quem improvisa. “Quem já nasceu aderente transforma compliance em vantagem competitiva. Nós, por exemplo, não temos dependência de software ou empresas terceiras (software house), tudo foi construído do zero e dentro de casa. A autorização não é só burocracia: é um ativo de confiança regulatória e previsibilidade para empresas que dependem do Pix como motor do negócio”, diz o CTO. Entre as mudanças, também está o reforço das práticas de criptografia. O BC proibiu o compartilhamento de chaves privadas com terceiros e determinou a segregação de certificados por ambiente e por função. “Esses ajustes fecham brechas clássicas de ataques de supply chain e impedem que a integridade das mensagens do Pix seja comprometida”, explica.
Para instituições em fase de adaptação, a regulação prevê até 90 dias de dispensa do limite, desde que haja auditoria independente comprovando controles de segurança. A Woovi vê esse prazo como um mecanismo equilibrado. “É uma transição responsável, que dá tempo para ajustes sem abrir mão de accountability técnica”, analisa o executivo.
Consultorias e bancos tradicionais avaliam que o movimento fortalece o Pix como infraestrutura crítica da economia. “O Pix já ultrapassou cartões de crédito e débito em volume de transações no Brasil. Para sustentar esse avanço, é fundamental que o consumidor mantenha a confiança no sistema. O Banco Central foi assertivo nas suas diretrizes — especialmente com a Resolução BCB nº 496/2025, que impõe limites de R$15 mil por operação —, mas essa assertividade exige uma resposta ágil por parte das instituições. Nesse cenário, quem já nasceu em conformidade demonstra não apenas preparo técnico, mas visão estratégica de longo prazo.”, afirma Charles Mendes, CEO do Bancão SA.
“As novas resoluções reforçam a mensagem de que compliance não é mais um diferencial e sim um pré-requisito para competir no mercado. Exigências como endereço físico exclusivo, como a vedação expressa ao uso de coworking ou escritório virtual, além de governança robusta e auditorias externas obrigatórias, deixam claro que o improviso regulatório não tem mais espaço. Nossa missão é ajudar as instituições a se adaptarem com segurança, clareza e foco na continuidade dos negócios.”, reforça Matheus Oliveira, CCO do Bancão SA.
Analistas apontam que os efeitos das mudanças se distribuem em três frentes: competitividade, já que empresas não aderentes correm risco de perder espaço; inovação, porque a pressão por segurança acelera investimentos em monitoramento e tecnologia; e confiança do consumidor, condição indispensável para a expansão do sistema. Para a Woovi, que já investe em operar sua própria infraestrutura com datacenter próprio, reduzir a dependência de terceiros críticos e manter controles sob domínio próprio, a mensagem regulatória é clara: segurança não é acessório, é parte central do SLA.
Com mais de R$2,1 trilhões movimentados e 6,2 bilhões de transações no segundo trimestre de 2025, além de mais de 150 milhões de usuários ativos, o Pix já supera cartões de crédito e débito em número de operações no Brasil, crescendo em média 30% ao ano desde o lançamento. Para Seraphini, o reforço regulatório abre caminho para a próxima fase de inovação. “Com PSTIs mais robustos, participantes diretos mais preparados e métricas públicas de qualidade, o ecossistema pode consolidar os avanços do Pix, como o parcelado, pagamentos programáveis e automação com inteligência artificial sem sacrificar a confiança — que é o ativo central”, conclui.