Publicidade
O adiamento da publicação das regras de padronização do Pix Parcelado após uma sequência de episódios que abalaram a confiança do mercado – desde ataques hackers a instituições financeiras até operações da Polícia Federal que revelaram o uso de fintechs por organizações criminosas – representa um revés para o setor como um todo, segundo especialistas ouvidos pelo InfoMoney durante o evento Fitch in Fintechs 2025, que aconteceu nesta terça-feira (14).
Nos bastidores, a avaliação é de que o BC precisou mudar o foco, para garantir que as bases do sistema financeiro sejam sólidas e seguras.
“Não dá pra continuar inovando se a base de confiança foi abalada. O momento é de reconstrução, e isso exige uma mudança de postura de todo o ecossistema”, avalia Auziane Morais, líder de compliance do Stark Bank.
Para Pedro Carvalho, diretor sênior da Fitch Ratings, o BC enfrenta um dilema: preservar a credibilidade do sistema sem frear demais a inovação, uma vez que o redirecionamento de esforços para conter riscos inevitavelmente atrasa outros projetos – onerando os players do setor, sobretudo fintechs e fornecedores de infraestrutura.
“Muitos players estavam se preparando para a padronização do Pix Parcelado, por exemplo. Com o adiamento, esses investimentos ficam represados. A incerteza pesa, porque as empresas dependem de previsibilidade para crescer”, complementa.
Cooperação e governança
Dentro das fintechs, as palavras de ordem são – ou deveriam ser – cooperação e governança.
Continua depois da publicidade
“Se há desconfiança do usuário, todo mundo perde. Não adianta competir em inovação se a credibilidade do sistema está em risco”, diz Morais, que complementa afirmando o setor está mais disposto a compartilhar informações e criar mecanismos de autorregulação.
“Os eventos recentes mostraram que não é só uma questão de regulação. Houve um problema de conduta. Você pode colocar todas as regras, mas se a pessoa não segue as regras, não adianta”, comentou François Guérin, diretor de serviços de banking do Opea.
Para Guérin, é necessário mais governança nos processos, tanto na gestão dos colaboradores de instituições financeiras, que devem seguir à risca as diretrizes, quanto nos prestadores de serviço do setor, que devem assumir a responsabilidade de fazer a diligência na hora de escolher o seu Prestador de Serviços de Tecnologia da Informação (PSTI), entendendo qual a sua política e infraestrutura de cibersegurança.
“Quando analisamos os eventos vemos que há perguntas básicas que não foram feitas”, e completa: “Esses eventos serviram para lembrar o mercado que é importante observar a governança dos prestadores de serviço”.
Em setembro, dentre as medidas de segurança anunciadas pelo Banco Central, uma delas foi exigir capital mínimo de R$ 15 milhões de Prestadores de Serviços de Tecnologia da Informação (PSTI) – usadas por instituições de pagamento para se conectar à Rede do Sistema Financeiro Nacional – e um mínimo de certificação de segurança para empresas que atuarem como responsáveis por instituições de pagamento não autorizadas no Pix.
“Acho que a reação do BC foi muito repentina para quem está no mercado, mas se olharmos o que saiu recentemente sobre o PSTI, são regras de governança que são apenas boas práticas”, afirmou Guérin.
Continua depois da publicidade
Sobreposição regulatória
Os episódios recentes reacendem o debate sobre a sobreposição entre reguladores. Para Alexandre Assolini, diretor de segurança da Vórtx, parte das falhas exploradas decorre de lacunas entre o BC e a CVM.
“No Brasil a gente tem dois reguladores, um para o mercado de capitais e outro para o sistema financeiro. O que eu costumo dizer é que quando você tem dois, sempre tem uma fresta ali no meio, e algumas coisas caem nessa fresta”, afirma.
A crise
No fim de agosto ocorreu a deflaração de três operações da Polícia Federal – Carbono Oculto, Quasar e Tank – que desmantelaram um esquema criminoso bilionário no setor de combustíveis, liderado por membros da facção criminosa Primeiro Comando da Capital (PCC).
Continua depois da publicidade
Mais de R$ 7,6 bilhões em tributos não foram recolhidos e inúmeras irregularidades em diversas fases da produção e distribuição de combustíveis no país foram detectadas.
Pelo menos 40 fundos de investimento e várias fintechs foram usadas pelo PCC para lavagem de dinheiro, disfarce de transações e ocultação de patrimônio.
Do lado dos ataques a instituições financeiras, três grandes eventos ocorreram em quatro meses. Em julho, o Banco Central divulgou que a C&M Software, empresa que oferece serviços tecnológicos e conecta instituições financeiras à autoridade monetária, relatou ter sido alvo de um ataque à sua infraestrutura.
Continua depois da publicidade
Em setembro a fintech Monbank comunicou que sofreu um ataque cibernético que resultou no desvio de R$ 4,9 milhões. De acordo com a empresa, nenhuma conta de clientes foi afetada, e R$ 4,7 milhões já foram recuperados.
Também em setembro, a Sinqia, companhia responsável por conectar bancos ao sistema PIX, informou que um ataque hacker causou o desvio de cerca de R$ 710 milhões em transações não autorizadas.