Cada instituição terá de vigiar suas próprias contas com muito mais rigor
À medida que o Pix se consolida como artéria central da vida financeira brasileira, o Banco Central reconhece que a vigilância centralizada já não é suficiente para conter ameaças cada vez mais sofisticadas. A partir de 1º de dezembro de 2025, cada instituição participante do Sistema de Pagamentos Instantâneos passa a ser guardiã de si mesma, obrigada a construir seus próprios mecanismos de detecção de fraudes em tempo real, ancorados no comportamento histórico de seus clientes. É uma redistribuição silenciosa de responsabilidade — do centro para as bordas — que reflete a maturidade inevitável de um sistema que movimenta bilhões de reais por dia.
- O crescimento acelerado do Pix trouxe consigo uma escalada igualmente veloz nas tentativas de fraude, pressionando o Banco Central a agir antes que as vulnerabilidades se aprofundem.
- A nova resolução, assinada pelo diretor Nilton José Schneider David, rompe com a lógica de filtros centralizados e exige que cada instituição monte sua própria linha de defesa em tempo real.
- Instituições têm pouco mais de uma semana para adequar sistemas, treinar equipes e implementar mecanismos capazes de reconhecer desvios comportamentais — um prazo que pressiona especialmente as de menor porte.
- Além de detectar fraudes, as regras obrigam as instituições a interromper transações imediatamente caso suspeitem de comprometimento de seus próprios sistemas, tornando o bloqueio tão importante quanto a identificação.
- O modelo é deliberadamente flexível: cada instituição escolhe sua solução, desde inteligência artificial avançada até abordagens mais simples, desde que o resultado — identificar o anormal — seja alcançado.
O Banco Central publicou na terça-feira uma resolução que redefine as obrigações de segurança para quem opera dentro do Sistema de Pagamentos Instantâneos, o SPI. A partir de 1º de dezembro, as instituições participantes diretas do Pix precisarão manter sistemas próprios de vigilância capazes de identificar movimentações suspeitas enquanto a transação ainda está em curso — em tempo real, sem margem para revisão posterior.
A lógica da medida é comportamental. Cada instituição deverá mapear o histórico de transações de seus clientes, compreender o que é normal para cada um deles e disparar alertas quando algo se desviar desse padrão esperado. Não há um modelo único imposto pelo regulador: a resolução define o objetivo, mas deixa a cada instituição a liberdade de escolher como chegar lá — o que favorece as maiores, com recursos para sistemas sofisticados, e desafia as menores a encontrar soluções proporcionais à sua capacidade.
A novidade vai além da detecção. As regras também exigem que as instituições estejam preparadas para interromper o processamento de uma transação caso haja indício de que seus próprios sistemas foram comprometidos por acesso não autorizado. Isso representa uma mudança de postura: a proteção deixa de ser apenas um mecanismo de alerta e passa a incluir a capacidade de agir com rapidez para bloquear operações em curso.
O pano de fundo é o crescimento do Pix como alvo de fraudes. Desde que o sistema entrou em operação, em novembro de 2020, ele se tornou parte central da vida financeira do país — e, com isso, atraiu técnicas criminosas cada vez mais elaboradas. Ao distribuir a responsabilidade de vigilância para cada instituição participante, o Banco Central aposta na criação de múltiplas camadas de defesa, tornando o sistema mais resiliente como um todo. O custo da adaptação ficará com as instituições; o benefício, espera-se, chegará a todos que usam o Pix.
O Banco Central publicou na terça-feira uma resolução que muda fundamentalmente como as instituições financeiras devem lidar com atividades suspeitas no Pix. A partir de 1º de dezembro, os participantes diretos do Sistema de Pagamentos Instantâneos — o SPI — precisarão montar seus próprios sistemas de vigilância para flagrar movimentações estranhas ou potencialmente fraudulentas em tempo real, enquanto o dinheiro está sendo transferido.
A resolução, assinada pelo diretor de Política Monetária do Banco Central, Nilton José Schneider David, estabelece um novo padrão de responsabilidade. Em vez de contar apenas com filtros centralizados, cada instituição que participa diretamente do sistema agora terá de desenvolver mecanismos próprios capazes de reconhecer quando algo sai do padrão. O critério é claro: as instituições devem usar "padrões históricos e comportamentais" para fazer essa identificação. Isso significa analisar o histórico de transações de cada cliente, entender qual é o comportamento normal, e disparar um alerta quando algo se desvia daquilo que é esperado.
O SPI é a espinha dorsal dos pagamentos instantâneos no Brasil. Desde novembro de 2020, quando começou a operar, o sistema processa e liquida transação por transação em tempo real — cada operação é finalizada imediatamente, sem filas ou atrasos. As instituições participantes mantêm contas especiais no Banco Central, chamadas Contas PI, e é nessas contas que os recursos são movimentados. Agora, cada uma dessas instituições terá de vigiar suas próprias contas com muito mais rigor.
A nova regra vai além de simplesmente identificar fraudes. As instituições também precisarão estar preparadas para interromper o processamento de uma transação se suspeitarem que seus sistemas foram comprometidos — ou seja, se houver indício de que alguém conseguiu acesso não autorizado aos computadores ou aplicativos da instituição. Essa é uma mudança importante porque coloca a responsabilidade de proteção não apenas na detecção, mas também na ação rápida de bloqueio.
A medida reflete uma preocupação crescente com a segurança do sistema. Conforme o Pix se tornou mais popular e mais dinheiro circula por ele, também cresceu o número de tentativas de fraude. Criminosos desenvolvem técnicas cada vez mais sofisticadas para enganar usuários ou explorar vulnerabilidades. Ao exigir que as instituições implementem vigilância própria baseada em padrões comportamentais, o Banco Central está distribuindo a responsabilidade de proteção e criando múltiplas camadas de defesa.
O que torna essa resolução particularmente significativa é que ela não oferece um modelo único que todas as instituições devem seguir. Cada uma terá liberdade para desenhar seus próprios mecanismos, desde que eles sejam capazes de identificar desvios em relação aos padrões esperados. Isso significa que instituições maiores, com mais recursos, podem implementar sistemas de inteligência artificial sofisticados, enquanto instituições menores precisarão encontrar soluções adequadas ao seu tamanho e capacidade técnica.
A implementação começa em dezembro, o que dá às instituições pouco mais de uma semana para se prepararem. Para muitas, isso significará investimento em tecnologia, treinamento de equipes e ajustes em seus sistemas de processamento. O custo dessa mudança será absorvido pelas instituições, não pelos clientes — pelo menos não de forma direta e imediata. A longo prazo, porém, um sistema mais seguro pode significar menos fraudes, menos perdas, e potencialmente menores taxas para quem usa o Pix.
Citações Notáveis
Os participantes diretos precisarão identificar as possíveis fraudes e movimentações atípicas com base em padrões históricos e comportamentais— Resolução do Banco Central
A Conversa do Hearth Outra perspectiva sobre a história
Por que o Banco Central não simplesmente reforçou os controles centralizados do próprio SPI? Por que colocar essa responsabilidade nas instituições?
Porque nenhum sistema centralizado consegue conhecer o padrão de comportamento de cada cliente melhor do que a instituição que cuida daquela conta. O banco sabe quando você normalmente transfere dinheiro, para quem, em que horários. O SPI é só a infraestrutura — quem realmente conhece o cliente é a instituição.
Mas isso não cria um risco? Se uma instituição pequena não tiver tecnologia suficiente, fica mais vulnerável?
Sim, existe esse risco. Por isso a resolução é flexível — cada instituição desenha seu próprio sistema. Uma grande pode usar inteligência artificial, uma pequena pode usar regras mais simples. O importante é que todas estejam olhando.
E se um criminoso conseguir burlar os sistemas de uma instituição específica?
Aí entra a segunda parte da resolução: a instituição precisa estar pronta para interromper o processamento se suspeitar que foi comprometida. É uma defesa em profundidade — não é só detectar, é também parar rápido.
Qual é o prazo real para as instituições se prepararem?
Pouco mais de uma semana. É apertado. Muitas já devem estar trabalhando nisso desde que o Banco Central sinalizou a mudança, mas implementar sistemas novos em uma semana é desafiador.
Isso vai deixar o Pix mais caro para o usuário final?
Não necessariamente de forma imediata. As instituições absorvem o custo da tecnologia. Mas se o sistema ficar mais seguro e houver menos fraudes, isso pode beneficiar todos — menos perdas significam menos pressão para aumentar taxas.