Os ataques recentes ao sistema financeiro brasileiro não foram um incidente isolado. Eles expõem um vetor cada vez mais relevante: a borda do sistema, onde prestadoras de serviço de tecnologia (PSTIs) e instituições de pagamento ainda não autorizadas vinham se conectando ao Sistema Financeiro Nacional (SFN) sem o mesmo nível de supervisão prudencial que bancos e IPs autorizadas. A decisão do Banco Central de reconfigurar esse perímetro de risco é mais do que uma reação, é uma mudança estrutural na forma de pensar segurança e resiliência.

Entre as medidas anunciadas, o teto de R$ 15 mil por operação para determinadas instituições funciona como um rate-limit regulatório, ou seja, reduz o raio de explosão de um ataque e aumenta o custo operacional para agentes maliciosos. A curto prazo, tesourarias que operam fluxos acima desse valor precisarão fatiar transações e rever janelas de liquidez, mas o impacto sistêmico é limitado, já que mais de 99% das operações PJ estão abaixo desse patamar. O ganho está em observabilidade, permitindo que volumes anômalos emerjam como padrões repetitivos e sejam detectados antes de gerar perdas massivas.

O Banco Central também impôs capital mínimo de R$ 15 milhões e ampliou requisitos de governança, risco e continuidade para PSTIs. Essa mudança é crucial: quem conecta instituições ao SFN passa a ser reconhecido formalmente como infraestrutura crítica, com a responsabilidade de absorver perdas, garantir SLAs e operar com planos robustos de contingência. Em outras palavras, não basta oferecer tecnologia; é preciso demonstrar resiliência compatível com o papel sistêmico desempenhado.

Pix: clareza de responsabilidades

Outra medida de destaque é a restrição de quem pode ser responsável Pix por instituições não autorizadas, limitando esse papel a segmentos S1–S4 (não cooperativas) e estabelecendo prazo de 180 dias para adequação contratual. Isso fecha uma brecha que criava responsabilidades difusas e permitia fragilidades em pontos de autenticação e autorização. Na prática, é uma forma de endurecer fronteiras e clarificar ownership do risco operacional.

É importante ressaltar que a infraestrutura central do Pix permaneceu íntegra. Assim, os prejuízos ocorreram em contas-reserva de instituições que utilizavam prestadores externos e isso reforça um ponto essencial de engenharia: precisamos aplicar uma mentalidade de segurança perimetral rígida, autenticação forte, segregação de ambientes, rotação de chaves e mecanismos de contenção transacional. Isso tudo não apenas no núcleo, mas também nas conexões periféricas que compõem o ecossistema.

Uma arquitetura regulatória adaptativa

Mais do que responder a incidentes, o Banco Central está introduzindo uma arquitetura regulatória adaptativa. Autorização prévia, certificação técnica independente e limites condicionais criam um gradiente de confiança: quem comprova controles sólidos ganha autonomia; quem não, opera sob restrição. O recado é claro: inovação continua bem-vinda, mas precisa ser acompanhada de resiliência mensurável.

Portanto, o Brasil segue como referência mundial em infraestrutura de pagamentos. A lição desse episódio é que a sofisticação dos ataques evolui com a sofisticação dos sistemas. A decisão do Banco Central não somente mitiga riscos imediatos, mas sinaliza um novo patamar de maturidade regulatória, o qual combina segurança, inovação e confiança. Para instituições, fintechs e PSTIs, o desafio agora é alinhar engenharia e governança para estar à altura dessa nova realidade.

Sobre a articulista

Maísa Amaral é cofundadora da Lerian, onde lidera Legal, Compliance e RH. Com sólida experiência em regulação e serviços financeiros, já liderou equipes e estruturou áreas jurídicas e regulatórias em empresas como Dock, PPRO e Bitso. Hoje, além da agenda executiva, atua na promoção de diversidade e inclusão, trazendo a perspectiva da neurodivergência como ativo estratégico para organizações.