Resumo da notícia:

• O Banco Central brasileiro aplicará às empresas de criptomoedas o mesmo rigor regulatório exigido para bancos tradicionais, segundo especialistas que participaram de evento da ABToken.

• As novas regras incluem capital social mínimo de R$ 15 milhões, auditorias anuais obrigatórias, sede física exclusiva e critérios rigorosos para rejeição de transações suspeitas de fraude.

• A Banco Central pretende estabelecer as normas para licenciamento e atividades de PSAVs ainda em 2025.

O licenciamento de Provedores de Serviços de Ativos Virtuais (PSAVs) deve ser diretamente impactado por um conjunto de resoluções publicadas recentemente pelo Banco Central (BC), alertaram especialistas durante evento promovido pela ABToken na terça-feira, 16 de setembro. As novas regras visam elevar os padrões de segurança do SFN (Sistema Financeiro Nacional) e do SPB (Sistema de Pagamentos Brasileiro), em resposta aos hacks do Pix e ao uso de fintechs para lavagem de dinheiro do crime organizado.

A iniciativa do BC visa coibir a lavagem de dinheiro e o financiamento ao terrorismo, combatendo a infiltração do crime organizado em instituições de pagamento, como revelado pelas operações “Magna Fraus” e “Carbono Oculto”. As novas regras também visam impedir fraudes eletrônicas no sistema do Pix, que causaram prejuízos milionários e expuseram a vulnerabilidade do SFN e do SPB.

Embora formalmente direcionadas a Instituições de Pagamento (IPs) e Provedores de Serviços de Tecnologia da Informação (PSTIs), as novas regras deverão ser aplicadas às PSAVs no contexto da regulação do mercado de criptomoedas, segundo Jorge Galvão, presidente do Conselho da ABToken:

“Eu não vejo o Bacen fazendo um tratamento diferenciado em relação ao que ele tem com as instituições financeiras hoje. Devido ao alto volume de fraudes que vêm ocorrendo, não só institucionalmente, mas na ponta do cliente final, as regras deverão ser as mesmas para todos os participantes do sistema.”

Caberá às PSAVs demonstrar que as novas tecnologias podem ser tão eficientes e seguras quanto a infraestrutura do mercado tradicional. Segundo Jorge, as próprias consultas públicas 109 e 110 já apresentavam indícios disso.

Resoluções do BC igualam IPs e PSTIs a bancos

Marcelo Padua Lima, sócio da área de Bancário, Meios de Pagamento e Fintechs do Cascione Advogados, destacou que o novo regime proposto pelo BC iguala IPs e PSTIs a instituições financeiras tradicionais.

As novas regras exigirão uma autorização prévia para operar, demandando um investimento inicial robusto em estrutura física, tecnologia, diretores e pessoal qualificado antes mesmo do início das atividades. Essa formalização inclui a obrigatoriedade de uma sede com endereço físico de uso exclusivo, proibindo espaços compartilhados como coworkings.

A regulamentação sobre credenciamento de PSTIs indica que as VASPs provavelmente enfrentarão requisitos como capital social mínimo de R$ 15 milhões, auditorias externas anuais e independentes de segurança da informação e de Prevenção à Lavagem de Dinheiro (PLD/CFT), além de planos de continuidade de negócios detalhados.

Segundo Thássila Nogueira, advogada associada na área de Bancário, Meios de Pagamento e Fintechs do Cascione Advogados e coordenadora do Centro de Direito Bancário da USP (CDB|USP), as exigências estabelecidas pela Resolução nº 498 para credenciamento de PSTIs são “mais estritas do que as próprias normas aplicáveis às instituições de pagamento e às instituições financeiras.”

A uniformização do regime de autorização para todas as IPs a partir de 2026 e o grande volume de instituições que solicitarão a licença pode acarretar processos mais longos para que PSAVs obtenham autorização operacional do BC, alerta a advogada:

“Antes, as instituições de pagamento podiam começar a operar e só depois solicitar a autorização. Com o Banco Central tendo que autorizar toda essa leva de instituições, e em seguida as VASPs, quem não começar a operar efetivamente até a publicação da norma, para se beneficiar do período de transição estabelecido pelo Banco Central, talvez tenha que esperar um bom tempo para conseguir a autorização e entrar em operação.”

Por fim, um novo desafio operacional e de conformidade surge com a obrigação de rejeitar transações destinadas a contas com suspeita de fraude, conforme a Resolução nº 501.

Essa regra, que possivelmente será estendida às VASPs, impõe a necessidade de desenvolver critérios internos e usar bases de dados para identificar e bloquear operações suspeitas.

Além dos desafios técnicos e operacionais para cumprir a norma, Thássila argumenta que há uma lacuna na definição do que constitui uma fraude, além do potencial conflito com as normas de PLD, que proíbem a comunicação de suspeitas aos clientes:

“Para fins de lavagem de dinheiro, existe uma lista gigantesca de operações que se enquadram em atividades suspeitas, mas não existe o mesmo detalhamento para fraude. Então, há um desafio muito grande na própria definição. E, por último, até que ponto se pode rejeitar uma transação, acusando um cliente de fraude sem provas definitivas? Existe até um aspecto criminal relevante nesse sentido. Então, essa resolução traz uma série de desafios no que diz respeito aos procedimentos internos das empresas.”

Fator humano é o principal vetor de risco

Paulo Baldin, sócio e chefe de Segurança da Informação na CLA Brasil, alerta que, a despeito das normas regulatórias, a maior vulnerabilidade continua sendo o fator humano.

Paulo ressalta que muitas das exigências do BC dizem respeito a "questões básicas que já deveriam estar sendo abordadas" pelas instituições, como a gestão correta de chaves privadas e a validação de transações.

Para Baldin, o risco se agrava drasticamente com o que ele define como "falha humana" e, de forma mais perigosa, o "aliciamento da força de trabalho". Ele alerta para a realidade de profissionais que foram literalmente "comprados" por criminosos para facilitar ataques ao Pix, tornando a ameaça interna uma preocupação central e tangível.

Para mitigar esse risco, Baldin defende que as empresas adotem uma abordagem de segurança "holística", que vá muito além da simples implementação de ferramentas. Ele aponta como pontos críticos a gestão rigorosa de acessos, especialmente para as equipes de engenharia, e a capacidade de monitorar, identificar e responder a incidentes de forma eficaz.

A estratégia deve incluir desde o monitoramento com ferramentas como firewalls até o mais importante: a vigilância sobre o comportamento humano e o contexto dos colaboradores, integrando processos, auditorias e tecnologia em um ecossistema completo de mitigação de risco.

Conformidade deve ser encarada como oportunidade – e não como custo

As novas resoluções do BC indicam que a regulamentação dos criptoativos no Brasil estabelecerá normas tão rigorosas quanto aquelas aplicadas ao sistema financeiro tradicional, alerta Regina Pedroso, diretora executiva da ABToken:

“Existe uma preocupação muito grande com os prestadores de serviços de ativos virtuais, tendo em vista a proximidade da publicação da norma que vai regular a concessão de licenças pelo Banco Central. Eu mesma presenciei recentemente o Banco Central verbalizar que o mesmo rigor vai ser aplicado ao setor de criptoativos. É muito importante compreender a real dimensão disso para que o setor possa se preparar, tendo em vista que o tempo é escasso.”

As empresas que negligenciarem os padrões de conformidade estabelecidos pelo BC ficarão expostas a riscos operacionais, reputacionais e, por fim, a sanções regulatórias que podem inviabilizar suas operações. A conformidade, nesse contexto, não deve ser vista apenas como um custo, mas como uma estratégia de sobrevivência e uma vantagem competitiva.

Conforme noticiado recentemente pelo Cointelegraph Brasil, o BC pretende estabelecer as normas para licenciamento e atividades de PSAVs no Brasil ainda este ano.