Roberto Campos Neto escancarou o mercado para o crime organizado. A intenção, óbvia, foi aumentar os lucros dos agentes financeiros, recebendo uma montanha de investimentos adicionais do crime organizado, sem nenhuma preocupação com a institucionalidade.
Foram montadas fintechs por todo o mercado, sem sede fixa, sem capital mínimo, tornando-se um escoadouro de dinheiro para o crime organizado.
A recuperação do mercado para as atividades legais é um desafio ainda incompleto. Em todo caso, durante o ano passado, absorveu parte relevante dos recursos tecnológicos e humanos do Banco Central.
Abaixo, um balanço das medidas adotadas.
O contexto: ataques ao sistema e resposta regulatória
Logo após a posse da atual diretoria do Banco Central, o sistema financeiro nacional sofreu uma sequência de ataques cibernéticos coordenados. A resposta veio em forma de um pacote regulatório sem precedentes: dezesseis resoluções editadas ao longo de 2025, cobrindo desde o PIX até a regulação de criptoativos, passando pela governança de prestadores de tecnologia e pela proteção individual do cidadão.
O conjunto de medidas foi elogiado pelo Financial Stability Board, pelo FSAP e por representantes do Federal Reserve. Michael Barr, ex-representante do Fed, afirmou que o modelo brasileiro de regulação de ativos virtuais era o que ele próprio teria adotado, não fosse a mudança de gestão imposta pela administração Trump. Entidades como Febraban, BBC e Abracan reconhecem o efeito das medidas.
As medidas em detalhe
I. Sistema de alerta de movimentação atípica — Res. BCB nº 524
A primeira linha de defesa construída pelo BC foi um sistema de monitoramento em tempo real que analisa o perfil de transações de cada instituição financeira individualmente. O sistema avalia volume, horário e valor das operações, emitindo alertas quando detecta desvios estatisticamente relevantes — sinais de possível ataque cibernético ou fraude em curso.
A complexidade técnica é reconhecida: o sistema precisa calibrar o perfil típico de cada uma das centenas de instituições participantes do sistema financeiro, considerando grupos de clientes, faixas horárias e padrões de valor.
O mecanismo não isenta as instituições de sua responsabilidade primária pela segurança dos recursos de clientes — mas funciona como camada adicional de proteção sistêmica.
| Resolução | BCB nº 524 |
| Função | Alerta de movimentação atípica por instituição |
| Impacto | Redução do impacto de ataques cibernéticos em tempo real |
II. Mecanismo Especial de Devolução 2.0 (MED 2.0) — Res. BCB nº 493
Vítimas de fraude ou coerção passam a contar com um mecanismo ampliado de recuperação de recursos. O MED 2.0 permite rastrear o dinheiro desviado por até 20 camadas de transferências subsequentes — ante o limite anterior de apenas 2 camadas. Para golpes estruturados em múltiplas contas intermediárias, o alcance da reversão aumenta dramaticamente.
O sistema inclui um filtro de dupla verificação entre as instituições pagadora e recebedora, para impedir que o próprio mecanismo de contestação seja usado como vetor de fraude — o caso do comprador que leva o produto e depois aciona indevidamente o estorno. Um botão de contestação no aplicativo permite iniciar o processo diretamente, com bloqueio imediato das contas envolvidas na cascata de transferências.
| Resolução | BCB nº 493 |
| Inovação | Rastreamento de até 20 camadas de transferências |
| Proteção | Verificação cruzada entre instituição pagadora e recebedora |
III. Limite de R$ 15 mil para instituições com tecnologia terceirizada — Res. BCB nº 496, 497 e 498
Instituições que operam o sistema financeiro por meio de Prestadores de Serviço de Tecnologia da Informação (PSTIs) — em vez de infraestrutura própria — ficam sujeitas a um teto de R$ 15 mil por transferência, tanto via PIX quanto via TED. A lógica é que o elo fraco da cadeia — o terceirizado — se torna um vetor de ataque. Ao forçar múltiplas transações para valores expressivos, o sistema de alerta da Resolução 524 é naturalmente acionado.
A medida enfrentou resistência intensa do mercado — a maior corretora do país operava via PSTI.
Adicionalmente, os próprios PSTIs passam a ter requisitos mínimos severos: capital de ao menos R$ 15 milhões (ante valores de R$ 100 mil a R$ 500 mil anteriormente exigidos), diretoria dedicada à gestão de riscos e compliance cibernético. O resultado: de um universo amplo de prestadores, restaram apenas dois aptos — e um deles enfrenta dificuldades para continuar operando.
| Resoluções | BCB nº 496, 497 e 498 |
| Limite | R$ 15.000 por transação PIX/TED para instituições com PSTI |
| Capital mínimo | R$ 15 milhões para PSTIs (ante R$ 100–500 mil) |
IV. Bloqueio de chave fraudadora — Res. BCB nº 506
Instituições que identificarem fraude transacional são obrigadas a bloquear imediatamente todas as chaves PIX e contas do usuário reconhecido como fraudador — inclusive em outros bancos. A medida vai além do bloqueio da conta laranja imediata: impede a abertura de novas chaves em qualquer instituição participante do ecossistema.
O prazo para que um participante excluído possa solicitar reingresso no sistema PIX foi ampliado de 12 para 60 meses. A medida foi descrita como “bastante violenta” e “sensível” por advogados do setor, mas foi mantida como necessária para quebrar o ciclo de contas laranjas migratórias.
| Resolução | BCB nº 506 |
| Bloqueio | Chaves e contas em toda a rede, não apenas na instituição de origem |
| Carência | 5 anos para novo pedido de adesão ao PIX após exclusão |
V. Novo manual de penalidades do PIX — Res. BCB nº 507
As multas por infrações no sistema PIX deixam de ser homogêneas e passam a ser proporcionais ao porte econômico da instituição infratora. Introduz-se progressividade: na segunda reincidência, a penalidade cresce. Na terceira, a instituição pode ser excluída definitivamente do PIX — o que equivale, na prática, à morte operacional de qualquer fintech ou banco dependente do sistema.
VI. PIX Automático obrigatório para cobranças recorrentes — Res. CMN nº 5.251 e BCB nº 505
Qualquer cobrança recorrente feita por pessoa jurídica ou entidade não autorizada pelo BC — seguros, consórcios, assinaturas — passa a exigir autorização explícita do usuário via aplicativo, pelo PIX Automático. Acaba a prática de inclusão de débitos automáticos por telefone, que vitimava especialmente idosos.
“O cidadão reclamava: me enfiaram num débito automático que está caindo dinheiro na minha conta, um negócio que eu assinei e nem sei”, descreve o relato. A nova regra também facilita o cancelamento: pelo mesmo aplicativo, o usuário revoga a autorização.
VII. Antecipação do prazo de autorização de Instituições de Pagamento — Res. BCB nº 494
Instituições de pagamento que operavam sem autorização formal do BC — amparadas em prazo legal que se estendia até dezembro de 2029 — tiveram esse prazo encurtado para maio de 2026. Uma força-tarefa foi criada para analisar o estoque de pedidos pendentes. Nenhuma nova instituição pode mais iniciar operações sem autorização prévia.
VIII. Encerramento ordenado de IPs indeferidas — Res. BCB nº 495
Instituições com autorização negada têm 30 dias para apenas transferir recursos de volta a clientes, sem receber novos aportes. Após esse prazo, encerram obrigatoriamente as atividades. A resolução também proíbe o uso de endereços de coworking como sede declarada — exigindo endereço fixo e fiscalizável — e impõe certificação técnica equivalente ao padrão SWIFT para participação no ecossistema.
IX. Homogeneização do capital mínimo — Res. conjunta nº 14 e BCB nº 517
A proliferação de categorias regulatórias — IP, credenciadora, subcredenciadora, bank as a service — criou uma arbitragem: dependendo da autodenominação da empresa, o capital mínimo exigido variava. A nova metodologia elimina isso: o capital mínimo passa a ser calculado pelo risco efetivo da atividade, independentemente do rótulo adotado.
X. Encerramento das contas bolsão — Res. BCB nº 518 e CMN nº 5.261
Marketplaces como Uber e iFood usavam contas intermediárias para acumular pagamentos de múltiplos clientes antes de repassá-los aos prestadores de serviço. A prática é mantida, mas passa a exigir discriminação explícita de todos os destinatários no fluxo de transferência. Contas usadas para ocultar ou substituir obrigações em nome de terceiros devem ser encerradas.
XI. Regulação de criptoativos e stablecoins — Res. BCB nº 519, 520 e 521
O BC enquadrou toda a cadeia de ativos virtuais — criptomoedas, stablecoins, tokens — sob a mesma regulação aplicável ao mercado financeiro tradicional. A compra de uma stablecoin, por exemplo, é tratada como operação de câmbio. A lógica é eliminar a arbitragem regulatória entre instrumentos financeiros tradicionais e seus equivalentes digitais.
A medida gerou reação de deputados do PL, que intimaram o BC e acusaram a regulação de ser “controle e vigilância social”. O BC manteve a posição. O modelo foi elogiado por Michael Barr, ex-vice-chair de supervisão do Fed, como o desenho ideal de regulação de criptoativos.
XII. Bank as a Service — Res. conjunta CMN/BCB nº 16
Empresas que oferecem serviços financeiros “de prateleira” — operando sob o guarda-chuva de uma instituição autorizada — passam a ser tratadas como extensão direta dessa instituição para fins regulatórios. A contratante assume responsabilidade integral por Know Your Client (KYC) e prevenção à lavagem de dinheiro e financiamento ao terrorismo (PLD/FT) dos clientes trazidos pelo parceiro.
XIII. BC Protege Mais — Res. BCB nº 475 e IN BCB nº 661
Ferramenta de autobloqueio preventivo: o cidadão cadastrado impede a abertura de qualquer conta ou contratação de produto financeiro em seu nome sem desbloqueio prévio no aplicativo. A medida é resposta direta ao uso de deepfakes e vazamentos de dados para abertura fraudulenta de contas.
A adesão superou um milhão de usuários em pouquíssimo tempo, impulsionada por vídeo viral do influenciador Divo nas redes sociais.
XIV. Demais medidas complementares
O pacote inclui ainda: bloqueio cautelar estendido a pessoas jurídicas (antes restrito a pessoas físicas); duplo fator de autenticação obrigatório para acesso ao STRWeb; penalidades para instituições que processem transferências para contas reconhecidamente fraudadoras (Res. BCB nº 501); e proibição do uso do termo “banco” por instituições não autorizadas como tal (Res. conjunta CMN/BCB nº 17).
O impacto jurídico e o confronto com o status quo
O conjunto de medidas gerou uma avalanche de contestações judiciais. Negócios constituídos sob o regime anterior passaram a questionar na Justiça as novas limitações. A Procuradoria-Geral do Banco Central (PGBC) busca apoio da AGU para reforçar a equipe jurídica com até 100 advogados adicionais, voltados exclusivamente à defesa das novas regulamentações.
“Isso realmente virou uma celebração jurídica em função das limitações que se criaram aos negócios que já existiam”, reconhece Galípolo. “A gente tem processos de gente dizendo que essas medidas estrangeiram e inviabilizaram o negócio dele.”
O BC reconhece o lado adverso da concentração: menos prestadores habilitados significam menos concorrência. Mas a posição institucional é clara — serviços críticos de tecnologia para o sistema financeiro requerem robustez, não apenas capilaridade.
QUADRO RESUMO DAS RESOLUÇÕES
| BCB nº 524 | Sistema de alerta de movimentação atípica |
| BCB nº 493 | MED 2.0 — devolução em até 20 camadas |
| BCB nº 494 | Prazo de autorização de IPs antecipado para maio/2026 |
| BCB nº 495 | Encerramento ordenado de IPs indeferidas; certificação SWIFT |
| BCB nº 496/497/498 | Limite de R$ 15 mil para IPs com tecnologia terceirizada; capital mínimo de R$ 15 mi para PSTIs |
| BCB nº 501 | Penalidades por processamento de transferências para contas fraudadoras |
| CMN nº 5.251 + BCB nº 505 | PIX Automático obrigatório para cobranças recorrentes |
| BCB nº 506 | Bloqueio de chaves fraudadoras; carência de 5 anos para reingresso no PIX |
| BCB nº 507 | Novo manual de penalidades: multas proporcionais ao porte; exclusão na 3ª reincidência |
| Conjunta nº 14 + BCB nº 517 | Homogeneização do capital mínimo por risco efetivo |
| BCB nº 518 + CMN nº 5.261 | Encerramento das contas bolsão; discriminação obrigatória de destinatários |
| BCB nº 519/520/521 | Regulação de criptoativos e stablecoins sob marco do mercado financeiro |
| Conjunta CMD/BCB nº 16 | Bank as a Service: responsabilidade integral da instituição contratante |
| BCB nº 475 + IN BCB nº 661 | BC Protege Mais — autobloqueio preventivo de contas |
| Conjunta CMN/BCB nº 17 | Nomenclatura: proibição do uso de ‘banco’ por não-bancos |
LEIA TAMBÉM:
:
Luis Nassif