PIX: BC impõe limite de R$ 15 mil em operações de instituições não autorizadas para conter crime organizado
Um teto de R$ 15 mil por transação passou a valer para transferências feitas por 79 empresas que operam no sistema financeiro por meio de terceiros. O Banco Central diz que a regra é para reduzir a atuação do crime organizado e frear esquemas de lavagem de dinheiro que vinham explorando as brechas do arranjo digital. O foco são instituições que ainda não têm autorização própria para operar e usam estruturas de bancos e provedores de tecnologia para processar pagamentos.
A mudança é imediata e alcança operações de PIX e TED iniciadas por essas empresas. Na prática, quem precisar mandar valores acima de R$ 15 mil terá de fracionar o pagamento em mais de uma transferência ou usar uma conta de instituição já autorizada. O presidente do BC, Gabriel Galípolo, afirmou que 0,03% das contas do sistema serão impactadas, o que significa que 99,97% dos clientes seguem sem mudanças. Segundo ele, 99% das transações de empresas ficam abaixo do novo teto e, entre pessoas físicas, o valor médio é por volta de R$ 3,7 mil.
O alvo do BC não é um tipo de negócio específico, e sim o grau de risco na cadeia de tecnologia e compliance. Muitas dessas empresas se conectam ao Sistema Financeiro Nacional por meio de PSTIs, os provedores de serviços de TI que ficam entre a fintech e os sistemas de liquidação. Esses intermediários não são supervisionados diretamente e, segundo o BC, apresentaram fragilidades de infraestrutura e controle. A autoridade decidiu apertar o parafuso até que os requisitos de segurança sejam comprovados.
O que muda na prática
O limite de R$ 15 mil é por operação para envios feitos por instituições não autorizadas. Se o valor a pagar for maior, o cliente terá três caminhos: dividir o montante em várias transferências; usar uma conta de um banco ou instituição já autorizada; ou aguardar que a sua instituição conclua o processo de autorização e liberação dos novos controles exigidos pelo BC.
Quem é afetado de imediato? Setenta e nove empresas, em sua maioria companhias de pagamento menores que oferecem contas transacionais e funcionam “penduradas” em bancos parceiros e em PSTIs. Em paralelo, 142 instituições aguardam licença para operar de forma independente — 72 delas são instituições de pagamento que oferecem conta de pagamento (sem crédito), e 70 atuam em outros segmentos financeiros. Até lá, permanecem sob o novo teto.
Exemplo direto: um MEI que paga um fornecedor em R$ 22 mil a partir de uma conta numa empresa não autorizada terá que fazer duas transferências (R$ 15 mil + R$ 7 mil) ou usar uma conta de um banco autorizado. Um marketplace que repassa valores a lojistas acima de R$ 15 mil por operação precisará revisar seus ciclos de pagamento e o motor antifraude para não travar por excesso de transações sequenciais.
Há efeitos colaterais operacionais. Fracionar pagamento pode acionar regras internas de prevenção a fraudes, pedir confirmações extras e gerar pequenas filas de processamento em horários de pico. Empresas com grande volume de repasses — como plataformas de serviços, adquirentes e carteiras digitais — terão de reprogramar seus lotes de transferência, ajustar comunicação com clientes e revisar limites internos para evitar alarmes falsos.
O BC ressalta que a medida é preventiva. O alvo são redes criminosas que exploram contas intermediárias, “mulas” financeiras e a terceirização em cadeia para esconder a origem de recursos. Ao impor o teto, reduz-se a eficiência desses esquemas e se ganha tempo para limpar a trilha de auditoria.
- Quem entra na regra: clientes de instituições que ainda não têm autorização do BC e operam via bancos parceiros e PSTIs.
- Instrumentos afetados: PIX e TED iniciados por essas instituições.
- Valor por operação: até R$ 15 mil.
- Duração: até a instituição obter autorização própria ou até o PSTI cumprir os novos controles validados pelo BC.
- Como conferir a situação da sua conta: no site do BC, na página de busca de instituição regulada por nome ou CNPJ.
Importante: para valores acima do teto, dividir a operação funciona, mas pode aumentar a chance de verificações de segurança. Empresas devem orientar clientes, ajustar limites de tentativas e calibrar tempos de análise para não penalizar bons usuários.
Por que o BC apertou o cerco e quem precisa se adaptar
O crescimento do pagamentos instantâneos acelerou a criação de novas camadas tecnológicas: carteiras digitais, APIs de iniciação, processadores white label e PSTIs que conectam tudo isso a bancos liquidantes. Essa arquitetura distribui inovação, mas também espalha responsabilidade. Quando a supervisão não alcança todos os elos, abrem-se portas para abuso: contas de passagem, subcontas abertas com validação fraca de identidade, repasses em cascata para mascarar a origem do dinheiro.
Segundo o BC, a decisão vem após a identificação de vulnerabilidades críticas de infraestrutura em provedores que prestam serviços a essas empresas. O diagnóstico não aponta uma empresa específica, e sim padrões: falhas de controle de acesso, trilhas de logs incompletas, segregação insuficiente de ambientes e monitoramento deficiente de eventos. Em paralelo, ataques recentes exploraram parceiros menos protegidos para golpear o ecossistema de pagamentos como um todo.
A leitura da autoridade é clara: é melhor conter o volume e o tamanho das operações de maior risco agora do que correr atrás de prejuízos mais adiante. Ao mirar o valor por transação, o BC reduz a atratividade para o crime organizado e pressiona a cadeia a elevar padrões de segurança, governança e compliance. Não é uma punição às fintechs sérias; é um freio temporário até que os controles estejam no nível esperado.
Para empresas afetadas, o roteiro de adaptação inclui: reforçar KYC e verificação de identidade (com prova de vida, biometria confiável e checagem documental em bases oficiais), apertar monitoramento transacional com regras de perfil e detecção de anomalias, concluir testes de stress e auditorias independentes de segurança, e formalizar acordos com PSTIs que detalhem responsabilidades, métricas de segurança e planos de resposta a incidentes. Documentação organizada e governança clara tendem a acelerar a autorização.
Há impactos de curto prazo em operações B2B que dependem de transferências acima de R$ 15 mil. Fornecedores podem pedir divisão de repasses, e plataformas terão de ajustar seus cronogramas de liquidação. Times financeiros devem mapear pagamentos recorrentes que superem o teto, reconfigurar ERPs e prever mensagens automáticas que expliquem ao cliente o motivo do fracionamento. Também vale revisar a política de limites diários e por destinatário para que a soma de várias transferências não acione bloqueios desnecessários.
Para o usuário comum, pouca coisa muda. A maioria das pessoas físicas envia valores bem abaixo do teto. Mas, se você planeja uma compra de alto valor, como um carro usado ou a entrada de um imóvel, considere usar uma conta de instituição autorizada ou combinar com a outra parte a divisão do pagamento em mais de uma operação. Se o banco ou a fintech pedir confirmação extra, não é má vontade: é o sistema antifraude fazendo seu trabalho.
Do lado dos PSTIs, o recado está dado. Eles precisarão demonstrar controles robustos: gestão de chaves e criptografia ponta a ponta, segregação de funções, trilhas de auditoria invioláveis, detecção e resposta a incidentes em tempo quase real, testes de penetração periódicos e governança de terceiros (inclusive subcontratados). Sem isso, a torneira do alto valor continuará fechada para seus clientes.
O processo de autorização em curso para 142 instituições serve como válvula de saída. Quando a licença sair — ou quando o PSTI provar ao BC que cumpre os novos padrões — o limite cai para essas operações. Enquanto isso, o mercado ajusta rota. Bancos patrocinadores devem rever contratos, reforçar due diligence e, se preciso, impor salvaguardas adicionais a quem usa sua infraestrutura. Fintechs com base em contas de pagamento precisam mostrar que conseguem crescer com segurança.
O BC também orienta o consumidor a checar se sua instituição é autorizada e supervisionada. A consulta pode ser feita pelo nome ou pelo CNPJ, na própria página de busca do regulador. Essa verificação simples ajuda a entender se seu dia a dia seguirá igual ou se será preciso planejar transferências maiores com antecedência.
Em resumo, a medida troca velocidade por segurança em um trecho específico do mercado: o que ainda não tem autorização própria e opera apoiado em terceiros. Para quase todo mundo, nada muda. Para quem está no grupo afetado, a lição é objetiva: melhore controles, prove isso com evidências e recupere o direito de processar operações de maior valor. Até lá, o teto de R$ 15 mil é a nova regra do jogo.