As Novas Regras do BC e da Receita Federal para Fintechs. O Fim da “Terra de Ninguém“
Economista e cofundadora do Crypto ID, Susana Taboas, comenta as mudanças impostas pelo Banco Central e pela Receita Federal para aumentar a segurança e o compliance no mercado de pagamentos
Por Susana Taboas
A Operação Carbono Oculto, deflagrada em conjunto pela Receita Federal, Polícia Federal e outras autoridades, revelou o uso de fintechs por uma organização criminosa para lavagem de dinheiro e sonegação de impostos. Em resposta, o Banco Central e a Receita Federal agiram para reforçar a fiscalização e impor novas regras ao setor. Em 5 de setembro de 2025,
O Banco Central publicou as Resoluções BCB nºs 494, 495, 496, 497 e 498, com o objetivo de aperfeiçoar os mecanismos de segurança e a conformidade de atuação de instituições financeiras e de pagamento no âmbito do Sistema Financeiro Nacional (“SFN”) e do Sistema de Pagamentos Brasileiro (“SPB”).
As principais mudanças e regras para as fintechs após a Operação Carbono Oculto são:
1. Equiparação às Instituições Financeiras Tradicionais
A Receita Federal publicou a instrução normativa – Instrução Normativa RFB nº 2.278/2025. que obriga as fintechs e instituições de pagamento a seguirem as mesmas regras fiscais dos bancos tradicionais. A partir de agora, essas empresas precisam reportar informações de movimentações financeiras de seus clientes por meio da e-Financeira.
- O que isso significa? A fintechs terão que fornecer à Receita Federal dados sobre transferências, depósitos e créditos que superem R$ 2 mil por mês para pessoas físicas e R$ 6 mil para pessoas jurídicas, retroativamente, desde o início de 2025. O objetivo é aumentar a transparência e combater crimes tributários e a lavagem de dinheiro.
2. Limitação de Valores para Transações
O Banco Central (BC) impôs um limite de R$ 15 mil para transferências via Pix e TED para as instituições de pagamento que não têm uma autorização específica para operar dentro do Sistema Financeiro Nacional. Essa medida visa dificultar a movimentação de grandes quantias de dinheiro por organizações criminosas.
- O que isso significa? Fintechs que se conectam ao sistema financeiro por meio de Prestadores de Serviços de Tecnologia da Informação (PSTIs) estão sujeitas a essa nova regra, que força os criminosos a realizarem um número maior de transações para movimentar os mesmos valores, aumentando a chance de serem detectados.
3. Regras Mais Rígidas para os Prestadores de Serviços de Tecnologia (PSTIs)
O Banco Central (BC) foi direto ao ponto. Ele identificou os Prestadores de Serviços de Tecnologia (PSTIs) como um elo fraco no sistema, permitindo que organizações criminosas criassem uma rede de empresas de fachada e lavassem dinheiro. As novas regras, portanto, não são apenas ajustes, mas uma mudança completa na forma como essas empresas operam.
Os PSTIs são empresas que atuam como uma ponte tecnológica. Elas fornecem a infraestrutura (APIs, plataformas e softwares) que permite que fintechs, principalmente as menores, se conectem ao sistema financeiro nacional sem a necessidade de obter uma licença bancária completa.
Essas empresas oferecem serviços como:
- Banking as a Service (BaaS): Permite que uma empresa não financeira ofereça produtos bancários, como contas digitais e cartões, utilizando a infraestrutura de um banco ou de um PSTI.
- Processamento de Pagamentos: Facilitam a troca de informações entre o cliente, a fintech e o banco para efetuar pagamentos, como o Pix e transferências via TED.
- Integração com o Mercado: Conectam as fintechs com as grandes redes de pagamento, como a Rede do Sistema Financeiro Nacional (RSFN).
Os Detalhes que Mudaram o Jogo
As exigências impostas aos PSTIs são muito mais específicas do que apenas “melhorar a segurança”. As principais medidas são:
Aumento do Capital Social Mínimo para R$ 15 Milhões
Esse não é um valor simbólico. O BC exige esse capital para garantir que os PSTIs tenham solidez financeira e possam cobrir eventuais perdas operacionais, além de ser um critério para filtrar empresas que não têm a capacidade de atuar com a seriedade que o setor financeiro exige. A medida visa assegurar que essas empresas possam investir em segurança de dados e sistemas, e não sejam apenas intermediários sem responsabilidade.
Responsabilidade por Governança e Compliance
Os PSTIs agora são cobrados por padrões rigorosos de governança. Isso significa que eles devem implementar sistemas de controle interno, de gestão de riscos operacionais e, principalmente, de combate a fraudes e lavagem de dinheiro (AML – Anti-Money Laundering). Eles são obrigados a ter políticas de Conheça Seu Cliente (KYC) mais aprofundadas, garantindo que a identidade dos clientes (fintechs) e dos clientes finais seja verificada de forma robusta.
Limite de Transações como Barreira de Risco
A imposição de um teto de R$ 15 mil por transação via Pix e TED para as fintechs que usam esses serviços é uma medida de controle de risco direto. Se o PSTI não tiver a autorização completa do BC, ele não pode permitir que seus clientes movimentem grandes volumes de dinheiro de uma só vez, obrigando-os a fragmentar as transações. Isso torna as operações criminosas mais lentas e mais fáceis de serem detectadas pelo sistema de monitoramento do BC.
PSTIs – mais do que simples empresas de tecnologia
Em resumo, o BC está forçando os PSTIs a serem mais do que simples empresas de tecnologia. Eles agora são considerados parte crucial do sistema de prevenção de crimes financeiros e devem assumir responsabilidades financeiras, de governança e operacionais que antes eram negligenciadas. A regulamentação eleva o status de um PSTI para algo muito mais próximo de uma instituição financeira tradicional.
Além disso, o BC e a RFB vão ser mais duros com algumas normas antigas como o fato de que as fintechs que atingirem o limite de movimentação financeiras de R$ 500 milhões são obrigadas a solicitar uma autorização especial de funcionamento junto ao Banco Central (BC).
Essa regra não é nova, mas tem ganhado mais atenção após as recentes operações de fiscalização. O Banco Central, através de suas regulamentações, estabelece que uma fintech que atue como emissora de instrumentos de pagamento ou credenciadora deve buscar a autorização do BC quando as operações financeiras excederem ao montante te R$ 500 milhões.
O objetivo dessa regra é:
- Identificar e Regular Grandes Players
- Quando uma fintech atinge esse patamar de movimentação, ela é considerada um ator relevante no sistema financeiro e, por isso, passa a ser supervisionada diretamente pelo BC, devendo cumprir todas as exigências de segurança, governança e conformidade de um banco.
- Aumentar a Segurança
- A autorização pelo BC garante que a empresa adote padrões de segurança e gestão de risco mais robustos, o que é crucial para evitar a lavagem de dinheiro e outras atividades ilícitas.
Endereço Fiscal
Outra regra antiga que passa a ser mais criteriosa é a existência de um endereço fiscal formalizado e válido para que a fintech possa existir legalmente, esse é o endereço oficial e legal da empresa, usado para registro na Junta Comercial, na Receita Federal e em contratos. A operação Carbono identificou várias empresas identificadas no mesmo endereço digital, não tendo a localização física oficial definida.
O problema apontado pelo Banco Central é que a falta de regulamentação específica para a categoria criou uma brecha que foi explorada por organizações criminosas para lavar dinheiro. As novas regras, portanto, visam regulamentar todo o setor, não apenas punir empresas específicas que por si não são criminosas, mas estavam sendo utilizadas por organizações criminosas em função dessas brechas.
As novas medidas representam uma mudança completa no ecossistema das fintechs. A regulamentação não visa punir a inovação, mas sim garantir que ela aconteça dentro de um ambiente seguro, transparente e, acima de tudo, livre de atividades criminosas.
O Cenário muda Radicalmente
A partir de agora, o cenário para as fintechs e empresas de pagamento muda radicalmente. As medidas, que já estão em vigor, atingem as instituições que operam sem autorização direta do Banco Central, inclusive de seus parceiros tecnológicos. Quem já está no mercado tem pouco tempo para se adequar, mas para os novos entrantes, as regras são ainda mais rígidas: não é mais possível começar a operar sem a prévia autorização do BC.
Com a antecipação de um prazo que se estenderia até o final de 2029 para maio do próximo ano, o regulador deixa claro que a tolerância zero com as brechas no sistema é uma realidade imediata. A inovação no setor de pagamentos continuará, mas agora sob um novo e rigoroso crivo de segurança e compliance, garantindo que o crescimento do mercado financeiro digital esteja alinhado com a integridade do sistema como um todo.
Nota do Presidente da Febraban sobre as medidas de reforço à integridade do sistema financeiro
Sobre Susana Taboas
Susana Taboas | COO – Chief Operating Officer – CryptoID. Economista com MBA em Finanças pelo IBMEC-RJ e diversos cursos de extensão na FGV, INSEAD e Harvard University. Durante mais 25 anos atuou em posições no C-Level de empresas nacionais e internacionais acumulando ampla experiência na definição e implementação de projetos de médio e longo prazo nas áreas de Planejamento Estratégico, Structured Finance, Governança Corporativa e RH. Atualmente é Sócia fundadora do Portal Crypto ID e da Insania Publicidade.
Leia outros artigos escritos por Susana.
Acesse o Linkedin da Susana!
Descubra o que diferencia o “bom” do “ótimo” na proteção bancária!
Baixe o e-book da HID – Biometric Identity Technologies e veja como transformar segurança em vantagem competitiva, acesse aqui!
Conheça nossa coluna sobre o Mercado Financeiro e leia outros artigos.
Cash Pooling e Inteligência Artificial elevam tesouraria à inteligência financeira
Estar no CRYPTO ID é mostrar sua marca para quem precisa proteger dados e identidade e sabe que investir em cibersegurança é essencial no mundo digital. Somos a mídia número um em soluções de tecnologia voltadas para identificação humana e não humana (NHIs). Entregamos muito mais que visibilidade: entregamos contexto, conteúdo e credibilidade. Nossa equipe atua em parceria com sua área de marketing e negócios, conectando a estratégia de comunicação da sua empresa para os melhores resultados de vendas.
Fale com a gente: +55 11 9 9286 7046 ou contato@cryptoid.com.br
