Banco Central aperta regras para Instituições de Pagamento e PSTIs: Resoluções 494 a 498/2025

O Banco Central do Brasil (BCB) editou cinco novas regras, destinadas a reforçar a segurança do Sistema Financeiro Nacional (SFN) em face dos recentes episódios envolvendo fraudes articuladas que utilizaram das estruturas de Prestadores de Serviços de Tecnologia da Informação (PSTIs) e Instituições de Pagamento (IPs) não reguladas: Resoluções BCB nºs 494, 495, 496, 497 e 498, todas de 05 de setembro de 2025.

As medidas têm vigência imediata e impactam diretamente IPs, Cooperativas de Crédito, PSTIs e instituições que operam por meio deles. Entre as mudanças de maior alcance estão a limitação a R$ 15.000,00 (quinze mil reais) por transação TED ou Pix para determinados participantes, a exigência de autorização prévia para operação e novo arcabouço regulatório para credenciamento de PSTIs.

Neste artigo explicaremos, de forma simples e objetiva, o que mudou e por que é imprescindível que as instituições coloquem em marcha planos de adequação imediatos.

Limites de transação para Instituições de Pagamento não autorizadas ou via PSTIs não credenciados

As Resoluções BCB nºs 496 e 497 estabeleceram o limite de R$15.000,00 (quinze mil reais) por operação TED ou Pix para as transferências realizadas por (i) Instituições de Pagamento não autorizadas pelo BCB; e (ii) instituições financeiras que se conectam à Rede do SFN por intermédio de PSTIs. A limitação entra em vigor imediatamente após a publicação da norma.

O impacto operacional é direto: produtos cujo ticket unitário supere esse teto terão de ser readequados; fluxos de recebimento poderão ser pulverizados; e haverá necessidade de voltar o suporte aos canais de atendimento para tratar recusas e bloqueios, a fim de mitigar risco reputacional.

A limitação, contudo, não é absoluta: não se aplica quando a PSTI em questão for credenciada pelo BCB, nos termos da Resolução nº 498 ou quando a instituição demonstrar que atende a determinados requisitos de segurança, como o não compartilhamento com o PSTI das chaves privadas cadastradas, dentre outras medidas.

Além disso, as normas preveem que a restrição poderá ser removida pelo BCB quando a própria instituição e o respectivo PSTI comprovarem o atendimento aos processos de controle de segurança definidos pelo regulador. De forma transitória, participantes que atestarem a adoção de controles mínimos de segurança da informação poderão ser dispensados da limitação por até 90 (noventa) dias, desde que demonstrem que apresentam mecanismos adequados para mitigar os riscos envolvidos.

Essa possibilidade transitória é uma ferramenta valiosa para permitir a continuidade das operações àqueles que conseguirem, em curto prazo, comprovar níveis mínimos de segurança, razão pela qual é imprescindível a ação rápida e efetiva dos participantes que se encontrarem em tais condições - certamente, será um diferencial de mercado a curto prazo.

Proibição de operar sem autorização para Instituições de Pagamento

As novas normativas revisitam o cronograma previsto na antiga Resolução BCB n.º 80/2021 e antecipa prazos relevantes. Todas as Instituições de Pagamento deverão apresentar pedidos de autorização até 31 de maio de 2026, ficando vedado o exercício da atividade sem prévia autorização do Banco Central após essa data; antes, havia um escalonamento de prazos até 2029.

As IPs cujo pedido for indeferido deverão encerrar suas atividades no prazo de 30 (trinta) dias dessa decisão, conforme determinado pela nova norma. Em razão disso, instituições ainda não autorizadas devem priorizar imediatamente a preparação dos documentos necessários para o pedido de autorização e avaliar cenários de contingência para um eventual encerramento ordenado, caso o pedido não seja acolhido.

Indicação de localização física das Instituições de Pagamento

As normas passaram a exigir que, no momento do pedido de autorização, as IPs indiquem o endereço das suas instalações físicas, vedando a utilização de coworkings, escritórios virtuais ou endereços compartilhados com outras empresas. Essa exigência será estendida às IPs já autorizadas anteriormente à norma, o que impõe imediata verificação documental e eventual necessidade de alteração de endereço de operação para quem utiliza modelos de endereço compartilhado.

Novos requisitos para credenciamento de PSTIs

A figura do PSTI sofreu transformações substanciais. A Resolução BCB nº 498 instituiu um conjunto regulatório específico para esses provedores, exigindo requisitos mínimos de governança corporativa, compliance, cibersegurança e capital social.

O credenciamento como PSTI passa a exigir capital social mínimo de R$ 15.000.000,00 (quinze milhões de reais) e a designação de diretores responsáveis por segurança da informação, segurança cibernética, gestão de riscos, compliance e gestão de crises operacionais, todos com conduta ilibada e comprovada competência técnica.

Tornou-se obrigatória, ainda, a comprovação anual, na forma e prazo que o BCB vier a estabelecer, de manutenção dos requisitos autorizadores.

O descumprimento implicará aplicação de medidas cautelares e, em última instância, descredenciamento, com consequências imediatas para as instituições que dependem desses provedores. Os PSTIs em operação têm prazo de 4 (quatro) meses para adequação contados da publicação dessa nova resolução, devendo preparar planos financeiros, de governança e de cibersegurança para atender ao novo patamar regulatório.

Cooperativas de crédito não poderão mais ser responsáveis por participantes indiretos do Pix

As normativas determinaram que apenas instituições financeiras integrantes dos segmentos S1 a S4 poderão assumir a responsabilidade pelo Pix em nome de participantes indiretos.

Ficaram de fora, contudo, as instituições enquadradas no segmento S5 e as Cooperativas de Crédito. Essa alteração tem impacto imediato em modelos de negócios que se apoiam em responsáveis Pix de menor porte ou em cooperativas, exigindo a revisão contratual e a busca por novos arranjos comerciais.

Além disso, os contratos que versem sobre essas condições deverão ser revistos e ajustados em até 180 (cento e oitenta) dias.

Impactos e Estratégias de Adequação

Essas medidas configuram um verdadeiro marco regulatório, que altera a dinâmica do SFN e gera impactos profundos para todos os players. O Banco Central reforça que o objetivo central é elevar o nível de segurança do sistema e mitigar riscos de uso por organizações criminosas.

O Porto&Pacca acompanha de perto as mudanças e se coloca à disposição para apoiar sua instituição em todas as etapas.