El presidente del Banco Central de Brasil, Gabriel Galípolo, condujo una conferencia de prensa (vea el video) el 5 de septiembre de 2025, acompañado por directores y el secretario ejecutivo, para anunciar medidas de emergencia en seguridad de la información para el sistema financiero. La motivación principal fueron los recientes ciberataques del crimen organizado contra instituciones financieras que, aunque no causaron perjuicios a los clientes, demostraron patrones repetitivos que requieren una respuesta regulatoria adecuada, afectando a todos los participantes del sistema financiero nacional.

Medidas Anunciadas

1. Limitación de valores para transferencias (R$ 15.000)

  • Afectados: Instituciones de Pago (IPs) no autorizadas E instituciones que operan a través de Proveedores de Servicios de Tecnología de la Información (PSTIs).
  • Alcance: Límite de R$ 15.000 por operación de PIX o transferencia bancaria (TED).
  • Justificación: El valor representa el percentil 99 de las transacciones de personas jurídicas.
  • Impacto: Afecta solo al 3% del total de cuentas del sistema.
  • Vigencia: Inmediata tras la publicación en el Diario Oficial (21h del 5 de septiembre de 2025).

2. Anticipación del cronograma de autorización

  • Cambio: Plazo para autorización de IPs no autorizadas reducido de diciembre/2029 a mayo/2026.
  • Solicitudes actuales: 72 solicitudes de IPs en análisis, 70 de otras instituciones.
  • Prohibición: Ninguna nueva institución puede comenzar a operar sin autorización del Banco Central.

3. Controles adicionales para Instituciones de Pago

  • Responsables en PIX: Solo instituciones S1, S2, S3 o S4 (excluyendo cooperativas).
  • Certificación técnica: El Banco Central puede exigir certificación independiente proporcionada por una empresa externa especializada en seguridad.
  • Plazo de cierre: 30 días tras la denegación de autorización.

4. Requisitos para PSTIs

  • Capital mínimo: R$ 15 millones (no existía anteriormente).
  • Gobernanza: Nuevos requisitos de gestión de riesgos en seguridad.
  • Plazo de adecuación: 4 meses.
  • Penalidades: Medidas cautelares y descertificación por incumplimiento.

Aspectos Técnicos y Operacionales

Durante la reunión, además de la información proporcionada en la introducción, periodistas especializados realizaron una serie de preguntas que revelaron aspectos importantes sobre la regulación actual y proyectada para el sector.

Cifras Relevantes

  • PSTIs: Aproximadamente 250 instituciones operan a través de estos proveedores.
  • Volumen de PIX: Más de 250 millones de operaciones por día, 20.000 operaciones por segundo.
  • Porcentaje afectado: Solo el 0,03% de las transacciones (1% del 3%).

Capital Mínimo

  • IPs: Será elevado a aproximadamente R$ 7 millones (revisión de la lógica de cálculo en 1-2 meses).
  • PSTIs: R$ 15 millones (nuevo requisito).

Posicionamientos Institucionales

Sobre el Crimen Organizado

Galípolo enfatizó que las fintechs e instituciones financieras son víctimas del crimen organizado, no perpetradores. El sistema financiero está unido en el combate a estas amenazas, con apoyo de todas las asociaciones y federaciones del sector.

Efecto cascada de la regulación

El presidente del Banco Central destacó que no hay margen para ningún tipo de tolerancia en lo que respecta a la seguridad de la información involucrada en el sistema financiero. Afirmó también que el problema no se limita a los PSTIs, sino al proceso general de gobernanza de seguridad de la información. Las instituciones que contratan PSTIs también serán más exigidas en materia de seguridad a partir de ahora.

Medidas Futuras Anunciadas

  1. Cuentas de acumulación: Regulación específica en desarrollo.
  2. Activos Virtuales (VASPs): Tres consultas públicas en fase final.
  3. Cuentas mula: Medidas específicas para combatir el uso fraudulento.
  4. Bloqueo de transacciones: Normas claras sobre bloqueos inmediatos con penalidades.

Aclaraciones Importantes

  • Seguridad del sistema: El Banco Central reforzó que el sistema financiero brasileño permanece riguroso, seguro y solvente.
  • Infraestructura del Banco Central: No hubo comprometimiento de los sistemas del Banco Central.
  • Cooperación: Alianza activa con la Policía Federal, policías estatales y el COAF (Consejo de Control de Actividades Financieras).
  • Investigaciones: El Banco Central no divulga valores de fraudes para no perjudicar las investigaciones policiales.
  • Caso BRB-Master: Decisión colegiada protegida por sigilo bancario; por lo tanto, la información aún no puede ser proporcionada.

Implementación y Vigencia

  • Normas publicadas a las 18h del 5 de septiembre de 2025.
  • Vigencia a partir de las 21h tras la publicación en el Diario Oficial.
  • Medidas excepcionales con carácter transitorio.
  • Reversión condicionada a la comprobación de adecuación de las instituciones.

Este post fue resumido a partir de su versión original con el uso de IA, con revisión humana.