O Banco Central (BC) anunciou que 31 instituições financeiras que operam como participantes indiretos do sistema Pix deverão se adequar às novas normas de segurança estabelecidas pela autoridade monetária. Essa decisão se dá após uma série de ataques cibernéticos que impactaram o sistema, resultando em um prejuízo total estimado em R$ 1,5 bilhão.

A informação foi divulgada na ata do último Fórum Pix, realizado no dia 4 de outubro. Além das 31 empresas, outras 39 já se encontram em conformidade com as novas regras, que exigem um contrato com uma instituição financeira participante direta do sistema.

Conforme a resolução emitida pelo BC em 5 de setembro, apenas aquelas instituições que apresentarem um formulário completo de avaliação de risco poderão atuar como responsáveis por terceiros. Este documento requer informações detalhadas sobre movimentações financeiras e valores sob custódia, essenciais para que o BC possa avaliar a solvência das empresas.

Com as novas diretrizes, cooperativas de crédito também perderam a autorização para supervisionar a participação de outras empresas no Pix. As instituições que não se adequarem até o dia 4 de março de 2026 serão excluídas do sistema.

O BC planeja ainda apresentar, no ano que vem, uma matriz de risco para identificar participantes com falhas de segurança. Durante os ataques cibernéticos entre junho e setembro, contas fraudulentas vinculadas a participantes indiretos foram utilizadas para disseminar os valores obtidos nas fraudes. Por exemplo, a fintech Soffy teve sua participação suspensa após receber R$ 270 milhões dos R$ 541 milhões desviados da BMP Moneyplus em 30 de junho. A empresa alegou que a conta em questão pertence a um cliente parceiro.

A ANBCB (Associação Nacional dos Analistas do Banco Central do Brasil) afirmou que, por enquanto, o acesso dos participantes indiretos permanece válido conforme a norma. A entidade destacou que a continuidade desse acesso e possíveis revisões dependerão das decisões futuras do Banco Central, baseadas em avaliações de risco e diretrizes de política pública.

Durante o Fórum, o BC também apresentou seu cronograma até 2026, incluindo medidas para restringir o acesso ao Pix para pessoas com histórico de fraudes e a implementação de critérios de segurança para o Pix automático, que será utilizado em pagamentos recorrentes. A partir de novembro de 2026, apenas instituições que cumprirem as novas normas poderão utilizar essa ferramenta.

Este ano, o BC já havia imposto requisitos como o cadastro de dispositivos para liberar o Pix e limites de valores para transações. A adesão ao sistema de rastreamento de transferências, o MED, que permite o estorno de valores em caso de fraudes, se tornará obrigatória em 26 de fevereiro de 2026. Atualmente, a maioria das recusas no MED ocorre por falta de evidências de fraude.

Em outubro, foram registrados 3.496.163 pedidos de devolução, com 422 mil aceitos, enquanto em setembro, 1.284.440 pedidos resultaram em 308 mil aceitos. Para mitigar fraudes, o BC está desenvolvendo um algoritmo para prever a probabilidade de fraudes, além de exigir que as instituições financeiras informem os clientes sobre a situação dos pedidos de devolução.