Nesta última sexta, o Bacen soltou mais uma Resolução emergencial para tentar conter o problema das fraudes que estão invadindo e abalando o mercado e muitas instituições. Estou falando da BCB nº 501 de 11 de setembro de 2025, que alterou a Resolução BCB nº 142 de 2021 para instituir um dever positivo que as instituições autorizadas detentoras de conta devem rejeitar transações de pagamento cujo destinatário seja conta com fundada suspeita de envolvimento em fraude.
Esta iniciativa integra o pacote de reforço de segurança do SFN anunciado pelo Banco Central na semana de 5 de setembro de 2025, em resposta à intensificação de ataques e à atuação de organizações criminosas sobre instituições financeiras e de pagamento. Sendo que esta nova norma entra em vigor na data da publicação, com prazo de ajustes apenas até 13 de outubro de 2025, ou seja, menos de um mês para implementação das medidas necessárias.
Queria trazer abaixo, então, alguns pontos que mais me chamaram a atenção.
Fundamento normativo e o que exatamente mudou:
A Resolução 501 inclui o art. 2º-A na Resolução 142/2021. Um caput determina a rejeição de transações quando houver “fundada suspeita de envolvimento de fraude” em contas de depósitos à vista, de poupança e contas de pagamento pré-pagas, ou seja, pega todo mundo que lida com dinheiro, e em especial o PIX e TED, que estão sendo usados no caminho do dinheiro das fraudes.
O artigo §1º vincula a abrangência às transações listadas no §1º do art. 2º da Resolução 142 (isto é, todos os instrumentos de pagamento cobertos por aquele dispositivo).
O artigo §2º explicita que a avaliação da fundada suspeita deve incluir fatores a critério da instituição, podendo usar sistemas eletrônicos e bases públicas ou privadas.
Enquanto que o artigo §3º impõe dever de comunicação ao titular da conta acerca da medida; e o artigo §4º fixa o prazo de até 13 de outubro de 2025.
“Fundada suspeita” e os conceitos operacionais e critérios técnicos:
A norma é principiológica, pois não fecha deliberadamente um rol taxativo de critérios, mas sim repassa a responsabilidade ao obrigar as instituições a estruturar e documentar metodologias robustas e auditáveis para caracterização da fundada suspeita, com combinação de sinais e fontes de dados heterogêneas. Em linha com o artigo §2º, vai ter que olhar com carinho, por exemplo, para sinais internos (histórico de fraude e tentativas, listas internas de risco, inconsistências cadastrais, dispositivos e endereços IP suspeitos, anomalias de behavioral biometrics), assim como para bases privadas (provedores antifraude, device fingerprint, risco de e-mail/telefone, score de mule/laranja); e ainda para bases públicas e autorregulatórias (registros e listas públicas relevantes, quando lícitas e compatíveis com a LGPD); e inteligência setorial (arranjos e bureaus de compartilhamento de indícios de fraude conforme regulamentação aplicável).
Em que o peso de cada sinal deve ser calibrado segundo o apetite a risco e o perfil de negócio, com validação independente e monitoramento contínuo de desempenho (AUC/ROC, precision/recall, FPR, FNR, population stability, deriva de dados e de conceito).
Processo ponta a ponta (E2E) para conformidade e efetividade:
Do ponto de vista de design operacional, o fluxo mínimo recomendado envolve desde o screening e o enriquecimento de dados do destinatário antes da liquidação (como uma pré-liquidação, mas para dificultar com latência compatível ao arranjo); assim, scoring de fundada suspeita com limiares de decisão e regras de fallback (ex.: reject, manual review, allow), preservando explicabilidade suficiente para auditoria; depois, dito ainda, tem a execução da rejeição no orquestrador de pagamentos e registro imutável do racional (logs assinados, carimbo temporal); para então fazer a notificação tempestiva ao titular da conta destinatária sobre a medida adotada (exigência do §3º), com canal de contestação e trilha de atendimento; sem esquecer dos controles de qualidade e post-event analysis para reduzir falsos positivos e “overblocking”; e, por fim, os reportes gerenciais e indicadores-chave de risco/controle.
Vamos então aos problemas, desafios e riscos que eu vejo com esta nova norma...
Tratamento do risco de falsos positivos e de “de-risking” indevido:
Como a obrigação de rejeitar atua no destinatário, o que provavelmente pode, aliás diria que vai acontecer, é que a taxa de falsos positivos pode impactar inclusão financeira e reputação, exigindo, portanto, uma governança de exceções (alçadas, four-eyes, challenge function da 2ª linha), monitoramento de bias (não discriminação, LGPD, proporcionalidade), SLA de resposta a contestações, revisão periódica de modelos e stress tests de cenários (e.g., surtos de fraude com laranjas de baixa maturidade digital).
A resiliência exige procedimentos de retomada quando a instituição precisar voltar atrás em negativa indevida, articulando o fluxo de comunicação ao cliente com a reversão operacional.
Integrações, dados e arquitetura tecnológica:
Cumprir a rejeição em tempo hábil requer uma desafiadora baixa latência entre o gateway de pagamentos e o motor de decisão antifraude, com a integração com provedores externos e dados interno, com observabilidade (métricas de fila, timeouts, circuit breakers), e resiliência. Para arranjos instantâneos (como Pix) ou transferência eletrônica (TED), a decisão precisa ser como uma pré-liquidação; mas já para arranjos com batch ou janela de compensação é essencial bloquear na entrada ou marcar para não liquidação no ciclo subsequente.
O design de dados deve preservar explicabilidade (variáveis efetivamente utilizadas, valores, versões de modelo e feature store). Vai exigir uma infra significativamente poderosa para dar agilidade.
Pix em alguns segundos vai ser um desafio bem grande, que talvez só os grandes com tecnologia de ponta e muito investimentos vão conseguir fazer.
Notificação ao titular da conta e obrigações de comunicação:
Outro desafio, na minha visão, está no artigo §3º do art. 2º-A, que é o que obriga a comunicar o titular da conta destinatária sobre a medida. Este requisito demanda mensagens claras, com base legal, motivo genérico (sem expor sinais sensíveis que comprometam a segurança), canal de recurso e prazos. O conteúdo deve observar LGPD (finalidade, necessidade, segurança) e as restrições de sigilo bancário. A trilha de evidências da comunicação (carimbo de envio/entrega) é elemento essencial de auditabilidade.
Interoperabilidade com outras frentes regulatórias de prevenção a fraudes:
A rejeição preventiva complementa, mas não substitui outros mecanismos (ex.: devolução ex post em arranjos com MED; bloqueio cautelar quando previsto; compartilhamento interinstitucional de indícios de fraude, conforme regulações específicas). Em 2023, por exemplo, o próprio CMN/BCB instituiu marco de compartilhamento de dados de indícios de fraude entre instituições reguladas, com vistas a reduzir assimetria informacional, o que prática que reforça a efetividade da detecção e a consistência da fundada suspeita.
Governança, papéis e responsabilidades (1ª, 2ª e 3ª linhas):
Pode não parecer, mas tudo isto está ligado ao modelo de três linhas, aonde a 1ª linha (operações de pagamentos, canais e produto) executa o screening, aplica as decisões e garante a comunicação ao cliente, enquanto a 2ª linha (Risco/Compliance/PLD-FT/Fraude) define políticas e critérios, valida limiares, monitora KPIs/KRIs (taxas de rejeição, hit rate de suspeitas, FPR/FNR por canal, tempo de resposta a contestação), e conduz a manutenção do modelo, já a 3ª linha (Auditoria Interna) avalia desenho e efetividade de controles, segregação de funções, qualidade de dados e conformidade documental (políticas, procedimentos, relatórios ao comitê). O Conselho e o Comitê de Riscos devem receber painéis periódicos com drill-down por arranjo, canal, geografia e segmento, além de incidentes materialmente relevantes.
Roadmap de conformidade até 13/10/2025:
Mas acho que o mais desafiador mesmo será a dada a vigência imediata com este prazo muito curto para plena adequação! Para deixar mais complexo, um roteiro pragmático deve incluir: a revisão e aprovação executiva/2ª linha de política de fundada suspeita, com taxonomia de sinais e limites por arranjo; os ajustes no orquestrador de pagamentos para suportar as rejeições, a contratação ou upgrade de provedores antifraude e datalakes necessários, além de uma mensageria de notificação ao titular e canal de recurso; mais manuais e bases de exceção/contingência; e tudo isto com KRIs e dashboards executivos, e some aí todo o treinamento de times de operações e atendimento; e testes para calibrar os gatilhos de alerta sem submeter clientes a choques abruptos. Diria que 6 meses sem correr na emergência já seria apertado, imagina em 1 mês com toda esta pressão em cima deste pessoal!
E tudo isto em apenas um mês! Parem as máquinas! Foco total! O famoso "se vira nos 30"...
Métricas e limites de risco e controle:
E para dificultar ainda mais algo que pode ser novo e desafiador para muitas instituições, que agora vão ter que parametrizar e acompanhar, por canal/arranjo: taxa de rejeição (global e por regra), hit rate (proporção de rejeições confirmadas como corretas), FPR/FNR, tempo médio de decisão por transação, tempo de notificação, % de contestações e tempo de resolução, incidência de reincidências por conta/CPF/CNPJ/dispositivo, deriva de dados e conceitual dos modelos, e perdas evitadas por rejeição. Esses indicadores alimentam o apetite a risco operacional/fraude aprovado em nível de Conselho.
Transparência, LGPD e risco de modelo:
Outro desafio e riscos será em relação à abertura para uso de “bases públicas e privadas”, que não dispensa o princípio da necessidade e da minimização de dados. O uso de modelos (estatísticos ou de aprendizagem de máquina) demanda gestão de risco de modelo, com uma governança formal, validação independente, backtesting, explicabilidade adequada ao uso (documentando variáveis, racional e limitações), e ciclos de monitoramento e recalibração. A explicabilidade operacional deve ser suficiente para justificar a decisão de rejeição sem revelar atributos sensíveis que comprometam o controle antifraude.
Relação com Pix e TED e a latência e janela operacional:
Obviamente que outro enorme desafio tecnológico será em arranjos como Pix, aonde a decisão deve ocorrer antes da liquidação, o que exige motores de risco com SLA de milissegundos e resiliência a picos de volume. Já no caso de TED e outras transferências, o processo deve garantir que a rejeição interrompa o fluxo de compensação/liquidação.
O que esperar da supervisão:
Some-se a isto e não se esqueça de que, por alterar a Resolução 142/2021, que já disciplinava procedimentos e controles antifraude para serviços de pagamento, a nova regra tende a ser acompanhada por monitoramento prudencial focado em: evidência documental de desenho de controles e critérios de fundada suspeita; métricas e dashboards; testes de efetividade (amostragem de rejeições, desafios e reversões); e governança (papéis, alçadas, treinamento). Afinal, o descumprimento pode ensejar medidas sancionatórias no âmbito do processo administrativo sancionador do regulador, considerando a natureza e materialidade das falhas.
Podem ler o texto original da norma em: https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=501
Depois de ler com calma, pode correr e se preparar para um mês de muito trabalho!
