
O Banco Central do Brasil estuda aplicar restrições de acesso ao Pix a instituições financeiras que apresentarem fragilidades nos requisitos de segurança cibernética. A proposta busca reforçar a proteção do sistema financeiro após ataques hackers que provocaram desvios bilionários desde o ano passado.
Entre as medidas em análise estão a limitação de horários, dias ou valores para transações via Pix, além da proibição de registrar novas chaves no sistema de pagamentos instantâneos.
Medidas preventivas
Atualmente, o principal instrumento do Banco Central para punir instituições que descumprem as regras do Pix é a abertura de processos administrativos, que podem resultar em multas.
Segundo técnicos do órgão, esse modelo é considerado lento, burocrático e frequentemente acaba sendo questionado na Justiça.
Com a mudança regulatória em discussão, a área de supervisão poderá adotar medidas cautelares antes da conclusão desses processos, incentivando as instituições a reforçarem seus investimentos em segurança cibernética.
O novo arcabouço regulatório ainda está em elaboração e deve levar alguns meses para ser concluído.
Questionário para instituições
Enquanto prepara as mudanças, o Banco Central iniciou uma revisão das práticas de segurança das instituições reguladas.
A autoridade monetária enviou um questionário com mais de 400 perguntas sobre tecnologia da informação, abordando temas como:
- estrutura das equipes de tecnologia;
- uso de inteligência artificial;
- controles de segurança;
- proteção de dados relacionados às chaves Pix;
- mecanismos de mitigação de riscos cibernéticos.
As respostas servirão de base para identificar instituições que poderão ser enquadradas nas futuras medidas preventivas.
Ataques impulsionaram mudanças
O reforço nas regras ocorre após uma série de ataques cibernéticos registrados em 2025, que resultaram em desvios de aproximadamente R$ 1,5 bilhão, segundo o Banco Central. Parte dos recursos foi recuperada.
O episódio mais grave ocorreu em junho de 2025 e envolveu a C&M Software, empresa que presta serviços de tecnologia ao sistema financeiro. Na ocasião, cerca de R$ 813 milhões foram desviados de contas utilizadas por bancos e instituições de pagamento para operações do Pix.
Após o ataque, o Banco Central passou a limitar em R$ 15 mil as operações de TED e Pix realizadas por instituições conectadas ao sistema por meio de Prestadores de Serviços de Tecnologia da Informação (PSTIs) e endureceu as regras de penalidade previstas no regulamento do Pix.






