Agosto e setembro ficaram marcados por uma enxurrada de episódios de segurança no sistema financeiro. Não foram fraudes no varejo ou vazamentos isolados, mas ataques coordenados que perfuraram centenas de milhões nas carteiras digitais e reavivaram velhos fantasmas. O Banco Central entrou em campo para controlar a narrativa — e para reposicionar a disputa.

Na live do dia 5/9, o recado foi explícito: a farra acabou. Ao impor um limite de R$ 15 mil por transação para instituições sem autorização e exigir capital mínimo de R$ 15 milhões para os provedores de tecnologia, o BC avisa que a nova corrida pela inovação terá critérios de entrada claros. Para uns, é o começo de um cerco que sufoca players menores; para outros, é o início de uma grande limpeza de reputações. Em vez de demonizar fintechs, o regulador diz que “todos são vítimas” e que a questão é de governança, e não de modelo de negócio.

No pano de fundo, há um contrapeso: a ascensão do open finance e da IA preditiva. Enquanto o BC endurece as regras, milhões de consumidores testam serviços que combinam dados compartilhados, personalização e economia de juros. A mensagem implícita é que inovação e segurança não são antagônicas, mas inevitáveis no mesmo tabuleiro. Nossa leitura: em vez de olhar apenas a superfície do limite de R$ 15 mil, observe como os players se movimentarão para elevar seus padrões de compliance e capturar novas oportunidades de tokenização e crédito. Afinal, as grandes disrupções surgem sempre nos intervalos entre a pressão regulatória e a fome de mercado.

📌 Introdução

A mais recente edição da TrendFi abre com um alerta de cibersegurança. Na última sexta‑feira (05 de Set 2025), o Banco Central do Brasil (BC) convocou uma live extraordinária após três hacks que desviaram pelo menos R$ 1,7 bilhão em dois meses e expuseram mais de 48 milhões de chaves Pix. O presidente Gabriel Galípolo procurou apagar o incêndio antes que virasse pânico: reconheceu que “Faria Lima e fintechs são vítimas” e prometeu reforçar a blindagem da infraestrutura financeira. Para isso, o BC publicou um pacote de resoluções (BCB 494 a 498) que altera de imediato a rotina de instituições de pagamento (IPs) e provedores de serviços de tecnologia da informação (PSTIs).

O que as resoluções 494 – 498 mudam

Limite de R$ 15 mil por operação – As Resoluções BCB 496 e 497 impõem um teto de R$ 15 mil por Pix ou TED para IPs sem autorização prévia ou que acessem o Sistema de Pagamentos Brasileiro via PSTI não credenciado. A restrição vale imediatamente e só é suspensa se a instituição e o seu PSTI provarem controles de segurança adequados; há a possibilidade de suspensão temporária por até 90 dias quando o participante atesta mecanismos mínimos. O BC justificou que 99 % das transferências corporativas ficam abaixo desse valor e a média para pessoas físicas é de R$ 3,7 mil, de modo que a maioria dos usuários não sentirá impacto.

Obrigatoriedade de autorização – A Resolução BCB 494 antecipa para 31 de maio de 2026 o prazo para que todas as IPs obtenham autorização do BC (antes o limite era 2029). A partir de agora não é permitido iniciar operações sem essa autorização, e quem tiver o pedido negado deve cessar atividades em até 30 dias. O pedido precisa informar endereço físico – coworkings ou escritórios virtuais não são mais aceitos. A mudança atinge cerca de 160 instituições que ainda aguardam na fila de autorização.

Exclusão de cooperativas e instituições de pequeno porte como “responsáveis” – Somente bancos dos segmentos S1 a S4, que reúnem as instituições de maior porte, poderão ser responsáveis por IPs não autorizadas no arranjo Pix. Cooperativas de crédito e instituições do segmento S5 ficam de fora e terão 120 dias para ajustar contratos.

Requisitos para PSTIs – A Resolução BCB 498 cria um regramento específico para provedores de serviços de tecnologia da informação. Eles passam a ter capital mínimo de R$ 15 milhões, devem designar diretores específicos para segurança da informação, cibersegurança, gestão de riscos, compliance e gestão de crises, e precisam comprovar anualmente o cumprimento desses requisitos. Atualmente existem nove PSTIs – sete ativos e dois homologados – que terão quatro meses para se ajustar à nova regulação.

1- Impacto imediato (1º grau)

O primeiro efeito das resoluções é operacional. IPs não autorizadas e fintechs que usam PSTIs não credenciados veem suas operações de transferência limitadas a R$ 15 mil. Embora 99 % das transações das empresas já estejam abaixo desse valor, alguns segmentos de varejo e B2B terão de escalonar grandes pagamentos ou procurar instituições devidamente autorizadas. Para as IPs que ainda aguardam na fila do BC, a redução do prazo de autorização cria uma corrida contra o relógio: pedidos precisam ser protocolados até maio de 2026 e eventuais negativas obrigarão o encerramento das atividades em 30 dias. Os PSTIs, por sua vez, terão de reforçar capital e estruturas de governança em quatro meses; para plataformas menores, a exigência de R$ 15 milhões pode inviabilizar o modelo de negócio.

2 - Impactos de mercado e regulação (2º grau)

Num horizonte de meses, as medidas devem realocar o tráfego de pagamentos. Os limites forçarão fintechs não autorizadas a transferir clientes para grandes bancos ou a buscar parcerias com PSTIs credenciados. Como cooperativas de crédito e instituições de pequeno porte não poderão mais ser responsáveis pelos participantes do Pix, a concentração de contas em players de segmentos maiores tende a aumentar, reduzindo a competição no curto prazo. A exigência de endereço físico e a proibição de coworkings aprofundam o escrutínio regulatório sobre startups que antes operavam de forma mais flexível. Ao mesmo tempo, a possibilidade de suspensão do limite para quem comprovar controles de segurança cria um incentivo claro ao investimento em infraestrutura cibernética e certificações independentes.

3 - Efeito sistêmico e inovação (3º grau)

A longo prazo, as resoluções podem reposicionar o ecossistema de pagamentos brasileiro. Ao subir a régua de capital e governança dos PSTIs, o BC sinaliza que a interconexão ao Sistema de Pagamentos Brasileiro não é trivial: exige recursos, gestão de riscos e compromisso com a segurança cibernética. Isso pode afastar aventureiros, mas também estimula novas tecnologias de detecção de fraudes. Na própria live, Galípolo lembrou que bancos e fintechs são vítimas e defendeu a modernização das ferramentas de monitoramento. Em paralelo, figuras como o ex‑presidente do BC Roberto Campos Neto, hoje no Nubank, preveem que algoritmos preditivos e inteligência artificial tornarão o sistema mais seguro. A pressão regulatória combinada com a ascensão do open finance deve impulsionar a integração entre bancos tradicionais e fintechs. O resultado provável é uma infraestrutura mais robusta, com menos brechas para hackers, porém mais seletiva com novos entrantes. O risco é que o aumento de capital mínimo e as barreiras regulatórias afastem inovadores menores e concentrem o mercado, dificultando a concorrência.

🔗 Sinais do Sistema

Três links que reforçam (ou tensionam) a conversa:

• IA preditiva e open finance ganham força – Roberto Campos Neto defendeu que algoritmos preditivos e inteligência artificial vão melhorar a segurança do sistema financeiro e que a tokenização não avança sem dados abertos.

• Drex em segundo plano - Canalização de recursos para mitigar vulnerabilidades de segurança do Pix deixará o restante da agenda de inovação do Banco Central em segundo plano.

• Brasil é referência do Citi para criação de ‘Pix Global’ - Tokenização e stablecoins fornecem a infraestrutura necessária para criação de um sistema global de pagamentos 24/7, mas regulação ainda é entrave.

💬 E aí, o que você viu?

E você, acha que a trava de R$ 15 mil vai proteger o sistema ou sufocar a inovação? Compartilhe esta edição e participe da conversa.