BC endurece contra fintechs após crise bilionária

O Banco Central suspende agenda de inovação do Pix para focar em medidas emergenciais contra fraudes, com fintechs na mira de regulamentação mais rigorosa após ataques cibernéticos milionários e conexões com o crime organizado.

A mais grave crise de segurança já enfrentada pelo sistema de pagamentos instantâneo brasileiro obrigou o Banco Central a tomar decisões drásticas. Após uma sequência de ataques cibernéticos que resultaram em prejuízos superiores a R$ 1,5 bilhão e a descoberta de esquemas de lavagem de dinheiro envolvendo o crime organizado, a autarquia decidiu interromper temporariamente sua agenda de inovação do Pix para priorizar medidas emergenciais de proteção.

A deflagração da Operação Carbono Oculto em agosto de 2025 expôs uma fragilidade grave no sistema financeiro. A investigação revelou esquemas bilionários de lavagem de dinheiro que colocaram na mira do BC diversas entidades financeiras que serviam como ponte para o crime organizado. Organizações criminosas ligadas ao PCC movimentaram mais de R$ 52 bilhões por meio de postos, distribuidoras e fintechs usadas como “bancos paralelos”. Segundo a Receita Federal, parte das movimentações ilícitas ocorreu através de fintechs, que não estão sujeitas às mesmas regras de transparência impostas a bancos tradicionais há mais de 20 anos.

Paralelamente, dois ataques cibernéticos de grande magnitude atingiram empresas provedoras de serviços tecnológicos para o sistema financeiro. Em julho, um ataque à C&M Software resultou no desvio de cerca de R$ 800 milhões. Na última semana de agosto, a Sinqia foi violada, com prejuízo inicial de R$ 710 milhões. O Banco Central se mantém em silêncio sobre este último caso, que poderia ter resultado em perdas superiores a R$ 1 bilhão se não fosse a ação rápida da autarquia.

Fintechs na mira: equiparação às regras bancárias

O ministro da Fazenda, Fernando Haddad, anunciou que seria publicada uma instrução normativa enquadrando fintechs como instituições financeiras. A mudança obriga essas empresas a prestar informações à Receita via e-Financeira, ampliando o alcance da fiscalização. A Instrução Normativa 2.278, publicada na sexta-feira 29 de agosto, terá efeito retroativo a partir de janeiro de 2025. Nova regra iguala fintechs a bancos em relação às obrigações de prestação de contas à Receita Federal.

MED 2.0: nova arma contra a lavagem de dinheiro

O regulador decidiu realocar seus esforços para uma resposta de segurança prioritariamente focada em duas medidas emergenciais. A primeira é a revisão da imediaticidade para transações de alto valor, onde transferências vultosas, na casa dos milhões, devem deixar de ser liquidadas em 10 segundos, passando por um período de análise para verificação de licitude. A segunda e mais crucial medida é a ampliação do Mecanismo Especial de Devolução (MED) para o chamado MED 2.0. O novo sistema permitirá o rastreamento de recursos desviados por até cinco níveis de transferências, indo muito além da conta inicial que recebe o valor fraudado. A ferramenta, que se tornará obrigatória em fevereiro de 2026, tem o objetivo de aumentar drasticamente a taxa de recuperação de valores, que hoje é de apenas 7%.

Prestadoras de tecnologia: o elo fraco do sistema

O novo ataque ao Pix reforçou a percepção de que as prestadoras de serviços de tecnologia estão se mostrando um elo fraco e vulnerável do sistema. Segundo interlocutores, nos dois ataques, as ordens de transferência começaram nas próprias empresas de tecnologia, e não nas instituições afetadas. Especialistas veem um aumento de riscos operacionais e um aperto no controle e na fiscalização desses provedores pelo Banco Central. Para Rafael Maia, executivo da Tivit Fintech, o crescimento vertiginoso do Pix transformou o sistema de pagamento instantâneo no principal alvo de hackers, e naturalmente os criminosos migraram para atacar também os PSTIs, que são “pontos estratégicos de conexão”.

Evolução da regulamentação financeira

O sistema de pagamentos instantâneo Pix foi lançado pelo Banco Central brasileiro em novembro de 2020, revolucionando o mercado de pagamentos no país. Desde então, o sistema processou trilhões de reais em transações, tornando-se alvo privilegiado de criminosos. As fintechs, classificadas pelo Banco Central como empresas que introduzem inovações nos mercados financeiros por meio do uso intenso de tecnologia, vinham operando com regras mais flexíveis que os bancos tradicionais. O governo já havia tentado estender a fiscalização sobre as fintechs anteriormente. A mesma instrução foi publicada em setembro de 2024 e passaria a valer desde o começo de 2025, mas foi mal recebida por conta do anunciado monitoramento do Pix que originou uma onda de fake news.

Impactos e perspectivas futuras

Com um orçamento restrito e diante da dificuldade de aprovação da PEC que concederia autonomia financeira à autarquia, o órgão regulador concentrará esforços na implementação das medidas de segurança. A agenda de inovação, que incluía o desenvolvimento de funcionalidades como o Pix por aproximação, foi temporariamente suspensa. A prioridade imediata do BC é conter a hemorragia e restaurar a confiança no sistema, ainda que isso signifique adiar o futuro das inovações. Segundo técnicos, é necessária uma mudança ampla nas regras que regem o Pix, as instituições de pagamento e as instituições financeiras em geral. A intenção é avançar na equalização das regras entre fintechs e bancos, embora também deva haver um aperto nas normas para as instituições tradicionais.