Banco Central anuncia medidas para aumentar segurança no sistema financeiro contra crime organizado

O Banco Central anunciou nesta sexta-feira um pacote de medidas de aperto na regulação do sistema financeiro para fechar brechas que estão sendo exploradas pelos criminosos. As iniciativas foram anunciadas em coletiva de imprensa com a presença do presidente do BC, Gabriel Galípolo, e dos diretores de Regulação, Gilneu Vivan, e de Relacionamento, Cidadania e Supervisão de Conduta, Izabela Corrêa, além do secretário-executivo do órgão, Rogério Lucca.

Nos últimos meses, tem ficado cada vez mais claro que grupos criminosos têm se aproveitado de brechas no sistema para desviar recursos, via fraudes ou transações ilícitas.

Dois episódios recentes de ataque a sistemas de empresas de tecnologia que conectam instituições financeiras ao Pix desviaram mais de R$ 1,5 bilhão de recursos de bancos e fintechs - uma parte bloqueada pelo BC. Além disso, investigações policiais mostram uma infiltração crescente de facções criminosas no sistema financeiro, sobretudo nas novatas.

Como mostrou o Globo, o BC vai antecipar o cronograma de entrada de todas as instituições de pagamento (IPs) no arcabouço regulatório do órgão em três anos. Pela norma que estava em vigor, o calendário só se encerraria em 2029. Com a nova medida, o BC irá demandar que todas as IPs entrem com o processo de autorização até maio do ano que vem. Essa antecipação já estava valendo para os participantes do Pix e agora será ampliada para todo o mercado.

 

As IPs são o tipo de fintech que mais se assemelha aos bancos, ainda que tenham o escopo de atuação reduzido - por exemplo, não podem conceder crédito. Elas começaram a atuar no mercado em 2013, oferecendo uma espécie de conta-corrente simplificada (conta de pagamento), sem necessidade de aval do BC. O objetivo do regulador era impulsionar a competição no mercado financeiro, na época altamente concentrado nos cinco maiores bancos do país.

Com o crescimento forte das novatas, o BC foi aumentando as cobranças gradualmente. Em 2021, passou a ser obrigatório o pedido de autorização para o funcionamento, mas foi definido um cronograma de adequação, com base no tamanho da instituição, que até então só terminaria em 2029.

Atualmente, no Pix, há 79 instituições que funcionam sem autorização do BC, em um universo total de 931 participantes, ou seja, 8,5% do total. As IPs sem licença participam do Pix sob a tutela de uma instituição autorizada e estão sujeitas a uma supervisão mínima.

Mas, na prática, até meados deste ano, quando o BC passou a cobrar informações de transações e clientes, o regulador não tinha visibilidade sobre essas empresas que atuam no Pix sem autorização.

Agora, o BC determinou que somente integrantes do segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no Pix por instituições de pagamento não autorizadas. Os contratos vigentes deverão ser adequados em até cento e oitenta dias.

Como o percentual de IPs sem licença dentro do Pix é pequeno, a expectativa é que o impacto sobre o consumidor de uma eventual redução de participantes não seja grande. Mas, neste momento, o BC entende que a solidez do sistema financeiro precisa ter preponderância sobre a eficiência.

O cronograma extenso para autorização de IPs foi definido com base na capacidade estrutural do BC, que vem passando por uma redução importante de orçamento e de pessoal na última década. Agora, para conseguir dar conta de analisar todos os pedidos, o BC deve criar a possibilidade de a área de autorização solicitar outros subsídios para analisar o pleito, como certificações prévias de empresas independentes ou auditorias.

Outra iniciativa do pacote para fortalecer a segurança no sistema financeiro prevê a retirada mais célere das instituições em funcionamento que tenham a licença recusada. Hoje, os bancos e fintechs com um pedido indeferido têm de apresentar um plano de saída ordenada que pode demorar meses. A ideia é limitar esse período.

"O BC poderá requerer certificação técnica ou avaliação emitida por empresa qualificada independente que ateste o cumprimento dos requisitos autorizativos. A instituição de pagamento que já estiver prestando serviços e tenha seu pedido de autorização indeferido deverá encerrar suas atividades em até 30 dias. A vigência da medida é imediata", disse o BC, em nota.

Provedores de tecnologia
O BC também vai atacar dentro do primeiro pacote de medidas a fragilidade identificada nas provedoras de tecnologia que conectam os sistemas de fintechs e bancos menores às redes do BC. Em dois meses, dois ataques aos sistemas dessas prestadoras de serviços - a Sinqia e a C&M Software - geraram um desvio de mais de R$ 1,5 bilhão, parte bloqueada pelo BC.

Essas prestadoras de serviço são credenciadas pelo órgão, mas não passam por um processo de autorização como os bancos e instituições de pagamento, têm apenas uma avaliação técnica do departamento de tecnologia de informação. Como os episódios recentes evidenciaram que essas empresas se tornaram “terceiro críticos” para o sistema, a ideia é que tenham que seguir critérios mais rígidos, como exigência de capital mínimo, requisitos de operação, processo de supervisão e detalhamento das penalidades cabíveis.

Segundo interlocutores, os últimos ataques ao Pix deixaram muito claro a vulnerabilidade das empresas que interligam as redes de BC e instituições para realizar as transações.

Suspeita-se que as prestadoras de serviços, que deveriam se ater à integração de sistemas, estão tendo acesso às chaves de transação, que dá início à transferência, que é de posse exclusiva das instituições reguladas pelo BC.

De acordo com pessoas com conhecimento no assunto, o ideal, do ponto de vista da segurança, seria que cada instituição tivesse sua própria ligação com o BC, mas seria inviável do ponto de vista do custo.

Contas bolsão
Um dos instrumentos mais utilizados pelo os criminosos é a conta bolsão, que é normalmente aberta em nome de uma fintech e reúne recursos de variados clientes, sem transparência sobre quem são os reais beneficiários do dinheiro. Segundo as investigações, esse instrumento vem sendo utilizado por facções criminosas para ocultar a origem ilícita do dinheiro.

Nesse caso, o entendimento no BC é de que a regulamentação em vigor já proíbe esse instrumento. Pelas regras do BC, os bancos ou fintechs onde estão as contas bolsão precisam ter conhecimento não só do cliente direto, mas também dos terceiros. Além disso, o assunto será tratado na regulamentação de banking as a service (BaaS), que está no forno, que deixa bem claro que os recursos das contas têm de ser segregados. Mas o regulador ainda estuda se novas medidas serão necessárias.

Veja também