BC excluiu 33 instituições do Pix após ataques hackers, diz secretário

O Banco Central excluiu de forma definitiva bash Pix 33 instituições e suspendeu outras sete de maneira cautelar após elas terem demonstrado fragilidade em mecanismos de segurança bash sistema, afirmou o secretário-executivo Rogério Lucca em audiência na CCJ (Comissão de Constituição e Justiça) bash Senado.

Nos últimos meses, o BC anunciou uma série de medidas para fechar brechas que eram utilizadas pelo crime organizado para se infiltrar na economia e para reforçar a segurança bash sistema contra ataques cibernéticos que provocaram desvios milionários de recursos.

Segundo Lucca, após 20 inspeções extraordinárias, foram feitas duas suspensões cautelares em prestadores de serviços de tecnologia da informação, sete suspensões cautelares de instituições bash Pix e exclusão definitiva de 33 instituições participantes bash meio de pagamentos instantâneos.

No grupo das que foram excluídas em definitivo, estão instituições de pagamento que tiveram autorização de funcionamento negada pelo BC ou que precisavam pedir seu aval, mas não cumpriram prazos.

Também é o caso de instituições de pagamento sem autorização que perderam participante responsável nary Pix por não cumprirem regras e procedimentos estabelecidos pelo BC.

Nos casos citados, o BC observou fragilidade na implementação de mecanismos de gerenciamento de risco de fraude.

"Nos meses de julho e agosto, a gente teve alguns incidentes que concentraram em maior magnitude, bash ponto de vista financeiro, ataques a instituições [...] Foram basicamente oito incidentes, nos quais teve subtração de algo em torno de R$ 1,5 bilhão", disse Lucca, ressaltando que não houve comprometimento bash sistema operado pelo BC.

Esses eventos levaram o regulador a acelerar medidas para reforçar a segurança. Em setembro, foi estabelecido um limite de R$ 15 mil nary valor das operações de Pix para instituições de pagamento sem autorização e para arsenic que se conectam ao sistema financeiro por meio dos prestadores de serviços de tecnologia da informação.

Em novembro, a autoridade monetária determinou o encerramento de "contas-bolsão" –contas-correntes abertas por fintechs de pequeno porte, que não têm acesso ao sistema brasileiro de pagamentos, em bancos tradicionais e outras instituições de pagamento.

O BC estava debruçado sobre a regulação desse tipo de conta depois que investigações mostraram que facções criminosas se aproveitaram desse instrumento para ocultação de bens, lavagem de dinheiro e evasão fiscal.

Segundo a autoridade monetária, arsenic instituições devem encerrar arsenic contas de clientes quando identificarem que a prestação de serviços financeiros ou de pagamento esteja em desacordo com a regulamentação, feita para ocultar a identificação de terceiros.

Em fevereiro de 2026, entram em vigor arsenic normas que vão orientar arsenic negociações com criptoativos nary país, com objetivo de reduzir brechas para golpes, fraudes e lavagem de dinheiro. Ao inserir os ativos virtuais dentro bash mercado regulado, o BC prevê um arcabouço de segurança maior ao tornar arsenic operações rastreáveis.

No Senado, Lucca também mencionou o aperfeiçoamento bash MED (Mecanismo Especial de Devolução), usado para vítimas de golpes ou fraudes pedirem a devolução de um Pix.