Mais lidas
compartilhe
SIGA NO
Por Frederico Torres
O Banco Central (Bacen) reagiu aos recentes ataques hackers, inclusive de grupos do crime organizado, lançando hoje um pacote de medidas para controlar o acesso de centenas de Instituições de Pagamento aos principais sistemas de pagamento do país.
Essas medidas restritivas vão limitar o acesso e uso de instituições não autorizadas e que agem através de terceiros. O objetivo é conter o ímpeto de hackers e do crime organizado em ataques aos bancos. Afinal, nas últimas semanas criminosos desviaram aproximadamente 1 bilhão de reais em três ataques distintos a diferentes instituições e sistemas de pagamentos.
A medida de maior impacto é o limite de R$15 mil por operação de TED ou Pix para instituições de pagamento não autorizadas e para aquelas que acessam a Rede do Sistema Financeiro Nacional via Prestadores de Serviços de Tecnologia da Informação (PSTIs).
O que é um PSTI?
Um Prestador de Serviço de Tecnologia da Informação (PSTI) nada mais é do que uma empresa de informática contratada pelas instituições de pagamento para operar as transações em seu nome.
Funciona como um atalho: em vez de gastar uma fortuna montando sua própria infraestrutura, a instituição terceiriza esse trabalho e já sai oferecendo Pix e TED para seus clientes. É a famosa “terceirização financeira”: rápida, prática e barata.
Vão mudar os requisitos e controles para o credenciamento dos PSTIs?
Sim. As regras ficaram bem mais rígidas. Agora os Prestadores de Serviço de Tecnologia da Informação (PSTIs) precisam ter capital mínimo de R$15 milhões e adotar controles de governança e gestão de riscos.
Quem não cumprir a nova exigência pode sofrer medidas cautelares ou até ser descredenciado pelo Banco Central. A norma já está valendo e os PSTIs que já estão em operação têm quatro meses para se adaptar.
Como foi estabelecido o valor máximo ao PIX de R$15mil?
O limite de 15 mil reais foi estabelecido pelo Banco Central para cobrir 99% das transações de pessoas jurídicas no país. Como referência, se fosse para cobrir 99% das transações de pessoas físicas o valor limite seria de aproximadamente R$ 3.700,00
Qual será a efetividade dessas medidas para reforçar a segurança do SFN?
Diferente de uma simples norma ou recomendação, o limite de R$15 mil virou um comando operacional dentro dos próprios sistemas de pagamento: o SPI (que processa o Pix) e o SPB (que processa TEDs).
Ou seja: a partir de hoje, não é “se o banco quiser aplicar”, o próprio BC vai bloquear transações acima do limite, então a medida tende a ser efetiva, uma vez que não terá a opção de descumprimento.
A partir de hoje será obrigatória autorização do Bacen antes de oferecer Pix?
Uma das medidas desse pacote de hoje é que nenhuma instituição de pagamento poderá começar a operar sem prévia autorização.
As Instituições de Pagamento, por exemplo, para serem autorizadas, passam a ter que apresentar capital mínimo de aproximadamente 7 milhões, antes não havia exigência alguma.
Todas essas medidas se somam às reações do Banco Central, que após os recentes ataques, suspendeu as autorizações de várias instituições.
E as Instituições de Pagamento que já estão no mercado? Tem que se adaptar?
Sim. Na prática, hoje há 75 participantes do Pix para pedir autorização e 40 por serem autorizados que serão mais afetadas por essas medidas.
Há ainda 250 instituições que acessam a rede do sistema financeiro nacional através de PSTIs. Todas essas instituições só poderão fazer Pixs e Teds por exemplo de até R$15mil.
Por que o Banco Central implementou esse pacote de medidas de fortalecimento do SFN?
Há anos valorizando a abertura do sistema e a liberdade de empreender, o pacote de medidas representa um passo atrás na liberdade e um a frente na segurança. Ou seja, nesse momento está havendo a valorização da segurança.
Deve haver alguma restrição à concorrência no sistema financeiro, mas a avaliação é que os ganhos do ponto de vista de estabilidade do sistema financeiro sejam maiores, chegando inclusive aos clientes comuns.
Os ataques hackers aos bancos vão continuar?
Não há como prometer que não ocorrerão, mas as medidas limitam seus impactos. Por exemplo, ao invés de conseguir fazer um Pix indevido roubando 30 milhões será necessário fazer milhares de Pix limitados a 15 mil para atingir esse valor e essa repetição tende a demorar mais e disparar alarmes de transações atípicas.
Possibilita-se assim que os mecanismos de controle e prevenção de fraudes sejam acionados a tempo.
E as contas laranja?
Essas contas em nomes de terceiros, fictícias, que são comumente usadas para fraudes, não estão incluídas no pacote de hoje, mas o Bacen prevê atacá-las, restringindo-as através de novas exigências ainda esse ano.
Haverá fortalecimento do Coaf?
O Conselho de Controle de Atividades Financeira é a Unidade de Inteligência Financeira do Brasil. O Coaf é o órgão público que monitora lavagem de dinheiro no Brasil e está sendo fortalecido também apesar de não constar nesse pacote de medidas.
Como ficarão o Baas e as contas Bolsão?
Assim como no caso das contas laranja, as contas bolsão, que juntam movimentações de diversos clientes em um só pacote, serão tratadas em pacotes de medidas futuras. Ou seja, o Bacen continua apoiando o sistema de Banking as a Service (Baas) mas será mais rigoroso com o controle dessas contas bolsão.
Por que o risco das Contas Bolsão, usadas no Baas, é maior?
As contas bolsão funcionam juntando tudo, movimentações de todos os clientes de uma instituição são agregadas e o resultado líquido é enviado ou recebido para o mundo externo. Sendo assim, como elas movimentam volumes maiores e não identificados, elas acabam sendo usadas mais comumente por fraudadores e hackers para perpetrar crimes financeiros sem serem identificados.
Conclusão: a reação do Bacen aos ataques foi positiva?
Avaliamos como positiva a reação do Bacen aos ataques recentes. As medidas vão no sentido certo ao endurecer o jogo para dar acesso a sistemas de pagamentos tão importantes à estabilidade financeira e, porque não, até a segurança do país.
O Banco Central não demorou a reconhecer a necessidade de ajuste e está adequando as regras e normas à mudança do jogo.
É claro que esse pacote de medidas de segurança não é uma bala de prata que resolve o problema de uma vez por todas. Esse é um jogo de gato e rato, novas fraudes ocorrerão, mas com essa tacada o regulador demonstra que está disposto a também fazer seus ajustes na defesa, para impedir os dribles dos atacantes.
As opiniões expressas neste texto são de responsabilidade exclusiva do(a) autor(a) e não refletem, necessariamente, o posicionamento e a visão do Estado de Minas sobre o tema.
