Após recentes ataques, Banco Central reforça a segurança nos pagamentos digitais

À luz dos últimos ataques cibernéticos a instituições financeiras e de pagamento, o Banco Central anunciou uma atualização regulatória que busca reforçar a segurança do sistema de pagamentos e também definir com maior clareza as responsabilidades de quem se conecta ao SPI (Sistema de Pagamentos Instantâneos).

Diante disso, foram publicadas as resoluções nº 496 (https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolução BCB&numero=496) e 497 (https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolução BCB&numero=497) do Banco Central. Essas resoluções trazem mudanças importantes no ecossistema de pagamentos no Brasil. Mas como isso afeta a sua empresa?

Vamos esclarecer ao longo deste artigo.

Como funciona o Sistema de Pagamentos Instantâneos (SPI)?

O Sistema de Pagamentos Instantâneos é a infraestrutura do Banco Central criada para permitir pagamentos instantâneos entre diferentes Instituições Financeiras e de Instituições de Pagamentos do Brasil.

Para se conectar ao SPI existem diferentes modalidades que frequentemente geram confusão. Para explicá-las detalhadamente, destacamos dois conceitos importantes na conexão:

• Participação no SPI:

• • Participantes diretos: são instituições autorizadas que possuem acesso próprio ao SPI. Alguns exemplos de participantes diretos são Itaú, Bradesco, Nubank, entre outros.
  • Participantes indiretos: são instituições autorizadas que não possuem acesso próprio ao SPI, devendo se conectar por meio de um participante direto. Alguns participantes indiretos do Pix são Google Pay, PagSeguro Internet, Wise, entre outros.
• Conexão tecnológica ao SPI:
  • Conexão própria: a instituição monta sua própria infraestrutura para se conectar ao SPI através da RSFN (Rede do Sistema Financeiro Nacional).
  • Conexão terceirizada: a instituição utiliza um PSTI (Prestador de Serviços de Tecnologia da Informação) para se conectar à RSFN e, consequentemente, ao SPI.

 Alguns conceitos importantes:

• RSFN: estrutura de comunicação de dados, que tem por finalidade amparar o tráfego de informações no âmbito do Sistema Financeiro Nacional (SFN) para serviços autorizados, nos termos da regulamentação em vigor
• PSTI: entidade autorizada a prestar serviços de processamento de dados, para fins de acesso à RSFN, a instituições autorizadas a funcionar pelo Banco Central do Brasil, nos termos da regulamentação em vigor.

Por outro lado, existem instituições de pagamento não autorizadas que, por terem menor volume de operações, podem atuar sob determinadas limitações. Essas instituições não possuem licença para participar diretamente do SPI; em geral, tratam-se de fintechs ou instituições de pagamento que podem operar legalmente, mas que não necessitam de autorização formal do Banco Central em função do seu porte. Para se conectarem ao SPI, essas instituições utilizam participantes diretos ou indiretos.

O que mudou com a nova normativa?

As principais mudanças desta atualização são:

• Limite de valor por transação para instituições de pagamento não autorizadas e contratantes de PSTI: as instituições que se enquadrem nessa característica terão um limite de transação de R$ 15.000 por transação via Pix.
• Antecipação do prazo para regularização das instituições de pagamento não autorizadas: para participar do Pix, as instituições não autorizadas deverão solicitar autorização até maio de 2026, enquanto o prazo anterior era até 2029.
• Mais regulações para instituições de pagamento não autorizadas: a partir de 5 de setembro de 2025, apenas algumas instituições de pagamento não autorizadas poderão atuar como responsáveis pelo Pix: devem ser provedoras de contas ou liquidantes, participar diretamente do SPI e estar nos segmentos S1-S4, excluindo confederações e cooperativas.
•  

A quem afeta?

As medidas afetam principalmente:

• Instituições que se conectam ao SPI por meio de PSTI.
• Instituições de pagamento não autorizadas.

Outras medidas da normativa visam regularizar e limitar o funcionamento de quem se conecta ao SPI fora dos procedimentos regulados.

Como saber se isso afeta minha empresa?

Você deve se fazer as seguintes perguntas:

• Minha empresa usa alguma instituição financeira ou de pagamentos para receber pagamentos?
• Essa instituição está autorizada pelo Banco Central para operar?
• Essa instituição tem conexão própria com o SPI?

Se as respostas forem sim e você trabalha com bancos consolidados, é muito provável que você não seja afetado.

Se as respostas forem não e você trabalha com alguma fintech não regulada, é possível que ela seja afetada pelas novas regulamentações.

A Toku é afetada?

A Toku não é participante do Pix, nem uma instituição financeira ou de pagamentos. A Toku se conecta com a instituição financeira ou de pagamentos (banco ou outro) da sua empresa para que você possa receber suas cobranças na conta oficial da empresa.

Além disso, a Toku está conectada exclusivamente a instituições autorizadas que têm conexão própria com o SPI e segue estritamente os padrões regulatórios do Banco Central. Sempre que surge uma nova resolução do Banco Central, ou quando há validação de resoluções anteriores, é importante reforçar que a responsabilidade de estar em conformidade com essas resoluções é sempre do banco ou instituição financeira onde a conta do cliente está hospedada. Nosso papel é garantir que a integração com os bancos e instituições parceiras continue funcionando de forma segura, eficiente e em conformidade com os padrões técnicos necessários.

Portanto, se você é cliente Toku, não tem nada com que se preocupar e pode continuar recebendo suas cobranças normalmente em suas contas bancárias.