Segurança do Pix em xeque: BC sob pressão por falta de pessoal e brechas na fiscalização

Hoje, o Banco Central tem nove funcionários responsáveis pela segurança do Sistema de Pagamentos Instantâneos (SPI). Trata-se da infraestrutura por trás do Pix, que movimenta todos os meses quase R$ 2 trilhões de mais de 160 milhões de pessoas.

Essa equipe precisa garantir a integridade de 919 participantes do Pix —204 têm participação direta, e outras 715, indireta. Nesse cenário, em que, para cada um funcionário há mais de cem empresas, existe um diagnóstico entre auditores do Banco Central de que a falta de pessoal é uma das brechas na guarda do sistema de pagamentos.

Ainda é necessário considerar as PSTIs, as companhias que ligam instituições de pagamentos menores ao Pix e serviram de flanco para os ataques a contas de pagamento instantâneo mantidas no BC —o prejuízo total, que recaiu sobre as instituições financeiras, fica na casa do R$ 1,5 bilhão.

No momento, existem cerca 150 instituições financeiras que se conectam ao Pix por meio de 9 PSTIs autorizadas pelo Departamento de Tecnologia da Informação (Deinf). No arranjo atual, dois funcionários analisam os pedidos de cadastro das empresas. O acompanhamento posterior é prejudicado pela necessidade de cumprir outras obrigações do departamento, como a manutenção dos sistemas da autoridade monetária.

O BC não se posicionou institucionalmente sobre as brechas que permitiram os ataques. Nesta sexta (5), a autoridade monetária anunciou um conjunto de medidas para endurecer as regras aplicadas às instituições e reforçar a segurança do sistema financeiro nacional.

Entre as novas regras, estabelece um limite de R$ 15 mil no valor das operações de TED e Pix para instituições de pagamento não autorizadas pelo regulador e para as que se conectam ao sistema financeiro por meio das chamadas PSTIs (Prestadores de Serviços de Tecnologia da Informação). As transações que excederem esse teto serão travadas pelo próprio sistema do BC.

Também passou a exigir capital mínimo de R$ 15 milhões para credenciamento dos prestadores e antecipou de 2029 para o ano que vem o prazo final para que instituições de pagamento não autorizadas solicitem aval para funcionamento.

Funcionários da entidade ouvidos pela Folha lembram que há outros fatores por trás dos reveses para a integridade do Pix. Um deles é o fato de grupos do crime organizado terem trocado assaltos a bancos por crimes cibernéticos, no chamado cangaço virtual.

Há também reclamações sobre as obrigações do BC como autarquia, como maior burocracia na contratação de serviços, incluindo os de tecnologia e cibersegurança.

A ANBCB (Associação Nacional dos Auditores do Banco Central do Brasil) defende que a proposta de emenda à Constituição nº 65 de 2023, que ficou conhecida como PEC do Pix, é a solução mais estrutural para os atuais desafios.

O texto propõe a conversão do BC de uma autarquia para uma instituição de natureza especial com autonomia técnica, operacional, administrativa, orçamentária e financeira, organizada sob a forma de empresa pública e dotada de poder de polícia —este é um termo técnico para entidade que pode impor punições administrativas em nome do Estado.

Essa transformação, defende a ANBCB, liberaria o BC das amarras do Orçamento federal. Caso o texto seja aprovado, a atual autarquia passaria a reter as verbas que levanta por meio de serviços, em vez de repassá-las ao Tesouro.

Além disso, o novo regime jurídico facilitaria o processo de contratação de funcionários, em um cenário de redução de 33% no quadro de servidores nos últimos dez anos —são 1.693 funcionários a menos em atividade do que em relação a uma década atrás.

Em nota, o MGI (Ministério da Gestão e Inovação em Serviços Públicos) afirma que o atual governo retomou a autorização e realização de concursos para reforçar várias áreas do governo. "O Banco Central (BC) realizou concurso em 2024 para 100 vagas imediatas já nomeadas e mais 200 vagas para cadastro de reserva."

Servidores do BC dizem que 6 desses 100 contratados já pediram demissão para assumir outros postos.

"Novos concursos e provimentos ainda serão feitos em 2025 e também em 2026, conforme autorizado pela lei orçamentária e previsto no projeto de lei orçamentária, respectivamente", afirmou o MGI.

Ainda de acordo com os servidores, a dependência do Orçamento do governo federal deixa a autoridade monetária sob influência da política do Planalto. Em março, por exemplo, quando o presidente da autoridade monetária, Gabriel Galípolo, disse que os recursos disponíveis eram suficientes para a autarquia funcionar apenas até setembro, o governo injetou R$ 150 milhões no BC sob a condição de que os investimentos fossem feitos em "formulação da política monetária cambial e de crédito e supervisão do Sistema Financeiro Nacional".

Funcionários do BC dizem que houve um acordo para acelerar a agenda evolutiva do Pix, que envolve novas modalidades como o Pix parcelado, hoje em fase de lançamento.

Com isso, 11 dos 33 servidores estão dedicados à pauta de inovação, 12, ao dia a dia da operação, e somente 9, à segurança. Quando o Pix sofreu com episódios de vazamento de dados em 2023, toda a equipe de pagamentos instantâneos foi realocada para a área de segurança, o que não se repetiu neste ano.

A versão contrasta com a posição da Fazenda, que classifica o orçamento como discricionário. A pasta disse que houve um crescimento de 58,6% no orçamento do BC entre 2024, com R$ 316,4 milhões liquidados, e 2025, quando houve dotação autorizada de R$ 502 milhões.

Em entrevista na quarta-feira (3), o ministro Fernando Haddad (Fazenda) afirmou que já há um entendimento com Casa Civil e Planalto a favor de "certos aspectos da PEC que fortalece a autonomia do BC".

"Eu penso que o Banco Central precisa ter orçamento próprio para fazer frente a despesas que não tem condição de fazer, dentre as quais o fortalecimento da parte regulatória", afirmou Haddad. "O banco autorizou um sem número de instituições financeiras que não estão sendo supervisionadas, sobretudo à luz dos golpes que estão surgindo e a infraestrutura do Pix."

Por causa do regime de contratação do serviço público, o BC também tem dificuldades de estabelecer monitoramento 24 horas do Pix, já que está proibido de pagar horas extras ou adicional noturno. A autoridade monetária tenta contornar essas limitações com servidores de sobreaviso.

A falta de pessoal também compromete a supervisão das 1.919 instituições financeiras reguladas pelo BC. Dos 1.374 grupos econômicos monitorados, 810 usam declaração simplificada (com menor prestação de contas) e outros 103 estão isentos.

Enquanto vários funcionários supervisionam os cinco grandes bancos (Itaú, BB, Caixa, Bradesco e Santander), um único servidor acompanha 70 fintechs —cenário que favoreceu casos como o da Soffy, que recebeu R$ 270 milhões durante ataque hacker, e do BK Bank, investigado sob suspeita de lavagem para o PCC (Primeiro Comando da Capital).

Embora exalte o sucesso do Pix, a Febraban (Federação Brasileira de Bancos) pediu nas últimas semanas que a autoridade monetária fortaleça a supervisão sobre as instituições financeiras de menor porte a fim de evitar que essas empresas se tornem "porta de entrada para ações criminosas". A limitação e restrição do fluxo financeiro de instituições não reguladas foi um pleito da entidade atendido pelo BC.