Altera regras e regulamento do arranjo de pagamentos Pix, incluindo segurança, operações e participação de instituições.
A Resolução BCB nº 403/2024 reforça a segurança do Pix e altera regras operacionais relevantes para participantes do arranjo.
📌 Cria ou ajusta comandos sobre antifraude, DICT, chaves Pix, dispositivos cadastrados e notificações do Banco Central.
⚠️ Exige atenção especial a logs, bases semestrais, documentação da solução antifraude e prazos de resposta.
🧾 Foi tratada como norma alteradora: requisitos novos ficam neste pacote e efeitos sobre normas anteriores foram registrados em alterações.
A Resolução BCB nº 403/2024 é uma norma alteradora do arcabouço do Pix. Ela modifica a Resolução BCB nº 1/2020 e o Regulamento Pix, com foco em três frentes operacionais: ajustes de participação no arranjo, reforço de mecanismos de segurança e aperfeiçoamento de procedimentos relacionados a chaves, DICT, fraude, devolução e notificações de descumprimento.
No modo de retrato-fonte, este pacote não tenta reconstruir todo o Regulamento Pix consolidado. A curadoria extrai os comandos materiais que nasceram na Resolução BCB nº 403/2024 e registra, em alterações de requisitos, os efeitos sobre os dispositivos da Resolução BCB nº 1/2020 e do Regulamento Pix. Isso evita duplicar obrigações antigas e preserva a rastreabilidade entre o requisito proposto e a norma que efetivamente o originou.
A norma traz impactos relevantes para participantes do Pix, especialmente instituições financeiras e instituições de pagamento que ofertam contas transacionais, operam canais de iniciação Pix, tratam chaves no DICT, processam devoluções por fraude, mantêm solução antifraude ou recebem notificações do Banco Central sobre descumprimento do Regulamento Pix. Também introduz a modalidade de instituição usuária e ajusta o papel do liquidante especial quando houver prestação de serviço de iniciação de transação de pagamento.
A cláusula de vigência merece atenção. A Resolução entra em vigor na data de publicação, mas os dispositivos que alteram o art. 89 do Regulamento Pix produzem efeitos a partir de 1º de novembro de 2024. Os demais dispositivos têm efeitos imediatos. Por isso, os requisitos ligados aos mecanismos de segurança do art. 89 foram marcados com início operacional em 2024-11-01, enquanto os demais foram tratados como vigentes desde a publicação.
O documento alcança o universo de participantes do Pix, com recortes diferentes conforme o dispositivo. O sujeito mais recorrente é o participante do Pix que atua como instituição financeira ou instituição de pagamento, especialmente quando oferta conta transacional a usuários finais, processa transações Pix, mantém chave Pix, acessa o DICT ou opera mecanismos de segurança antifraude.
A norma também ajusta categorias específicas. A instituição usuária passa a ser modalidade de participação no Pix para instituição financeira ou instituição de pagamento autorizada pelo Banco Central que tenha objetivo exclusivo, no âmbito do Pix, de realizar pagamentos ou recebimentos decorrentes de obrigações e direitos próprios. Esse ponto não foi tratado como obrigação genérica para todo o setor financeiro; virou requisito de governança de enquadramento apenas para quem optar por atuar nessa modalidade.
O liquidante especial também recebeu tratamento específico. A norma permite que ele preste serviço de iniciação de transação de pagamento, desde que atenda aos requisitos da Resolução BCB nº 80/2021. A curadoria criou requisito condicional para controlar a prestação de iniciação por liquidante especial, sem importar os requisitos completos da Resolução BCB nº 80/2021.
A segmentação exigiu cautela porque o dicionário disponível não possui tags granulares para todas as modalidades de participante do Pix, como participante iniciador, liquidante especial e instituição usuária. Quando necessário, a curadoria usou o recorte de instituições financeiras e instituições de pagamento, explicando no campo de aplicabilidade quando a obrigação depende de modalidade, produto, atuação no Pix ou evento específico.
A primeira frente envolve canais de iniciação Pix para pessoas naturais. Participantes que ofertam contas transacionais a usuários finais pessoas naturais devem disponibilizar a iniciação de Pix no aplicativo principal, acessível por telefone celular. A norma admite aplicativo alternativo, mas exige controle quantitativo: a quantidade de usuários com acesso ao aplicativo alternativo deve ser inferior à quantidade de usuários com acesso ao aplicativo principal. Esse comando foi convertido em requisito porque exige inventário de canais, evidência funcional e controle de base de usuários.
A segunda frente envolve modalidades de participação. A criação da instituição usuária exige delimitar que a atuação no Pix se restrinja a pagamentos e recebimentos próprios. Esse ponto tem impacto em governança, tesouraria, produtos e controles de operação. Também foi extraído requisito para o liquidante especial que pretenda prestar iniciação de transação de pagamento, pois a norma cria autorização condicionada a requisitos externos.
A terceira frente envolve fraude, devolução e DICT. A norma ajusta o procedimento de múltiplos bloqueios ou devoluções parciais em caso de fundada suspeita de fraude, quando a conta do recebedor não estiver encerrada e houver saldo insuficiente ou devolução parcial. O participante deve continuar realizando bloqueios ou devoluções parciais sempre que recursos forem creditados, até atingir o valor total da transação ou até noventa dias da transação original. Esse requisito é altamente operacional e requer fila de casos, monitoramento de saldo, logs de créditos posteriores e controle de prazo.
A quarta frente envolve acesso e funcionalidades do DICT. O acesso indireto ao DICT por participante provedor de conta transacional ou instituição usuária deve ocorrer por meio de participante com acesso direto e incluir funcionalidades mínimas: registro, exclusão, portabilidade, reivindicação de posse, verificação de sincronismo e consulta. Para participantes iniciadores com acesso direto, a norma restringe as funcionalidades disponíveis. Esses comandos foram separados em requisitos distintos porque envolvem processos, evidências e públicos internos diferentes: contratos e integração para acesso indireto; permissões técnicas e logs para iniciadores.
A quinta frente envolve chaves Pix. A norma permite rejeitar pedido de registro de chave Pix quando houver chave ou usuário com notificação de infração armazenada no DICT, devendo o participante comunicar o motivo da rejeição ao usuário. Também ajusta hipóteses de exclusão ou tratamento de chave Pix por fraude, necessidade de sincronismo, divergência entre dados da chave e CPF/CNPJ, ou inatividade cadastral. A exceção para nome social registrado no CPF foi preservada porque afeta diretamente a decisão operacional de exclusão por divergência de nome.
A sexta frente é a mais sensível: mecanismos de segurança do art. 89. A norma exige solução de gerenciamento de risco de fraude que use informações de segurança armazenadas no DICT e identifique transações atípicas ou incompatíveis com o perfil do cliente. Essa solução deve sustentar respostas como tempo máximo diferenciado de autorização, rejeição por fundada suspeita de fraude e bloqueio cautelar. Também há obrigação de informar clientes sobre cuidados contra fraude no canal eletrônico de iniciação Pix, proibir iniciação e recebimento de Pix por conta de usuário suspeito de fraude, manter base de dados de segurança de clientes atualizada pelo menos semestralmente via DICT, manter documentação da solução antifraude à disposição do Banco Central e exigir dispositivo de acesso previamente cadastrado para processos de chaves e iniciação de Pix por clientes pessoa natural.
A sétima frente envolve resposta a notificações do Banco Central. O art. 91-B cria procedimento para notificação de descumprimento do Regulamento Pix, com possibilidade de determinações, medidas corretivas, medidas emergenciais e ordens para adotar ou cessar prática. Quando houver necessidade de medidas corretivas, o participante deve submeter plano de ação em até cinco dias úteis. A norma também prevê envio de evidências documentais, pedido de dilação de prazo antes do vencimento e apresentação de evidências em até cinco dias úteis para demonstrar inexistência de descumprimento ou ausência de culpa.
O impacto de compliance é alto porque a norma desloca parte relevante da aderência Pix para mecanismos verificáveis: logs, bases, parametrizações, contratos, evidências documentais e respostas a notificações. A instituição precisa conseguir demonstrar não apenas que possui política ou procedimento, mas que o fluxo operacional funciona no momento da transação, do cadastro de chave, da consulta ao DICT, do bloqueio antifraude, do cadastramento de dispositivo e da resposta ao regulador.
A área de pagamentos Pix tende a ser a principal dona operacional de muitos requisitos, mas não atua sozinha. Tecnologia é central nos temas de dispositivo de acesso, integração DICT, logs, permissões de iniciadores, bloqueio transacional e solução antifraude. Cadastro, PLD/KYC e prevenção a fraude participam de marcações de fraude, chaves Pix, base de segurança de clientes e identificação de usuários suspeitos. Canais digitais e atendimento participam da informação antifraude ao cliente e da comunicação de rejeição de chave Pix. Jurídico, regulatório e compliance entram de forma mais material nas notificações do Banco Central, nos modelos de terceiros, no enquadramento de instituição usuária e nas hipóteses condicionadas de participação.
Para fins de controles, os requisitos mais críticos são aqueles que dependem de integração sistêmica e evidências de execução contínua. A solução antifraude deve estar documentada e conectada ao DICT. A base de segurança de clientes deve ter rotina semestral com reconciliação da população consultada. O cadastramento de dispositivo deve estar integrado aos fluxos de iniciação Pix e de chaves, com tratamento de exceções e limites definidos em ato operacional. O bloqueio de usuários suspeitos deve impedir tanto iniciação quanto recebimento de Pix. O processo de múltiplas devoluções precisa monitorar créditos posteriores e respeitar o limite de noventa dias.
O pacote sugere evidências orientadas à auditoria e à supervisão. Para canais, são úteis inventário de aplicativos Pix, relatório de usuários por canal e evidências de disponibilização da funcionalidade de iniciação. Para modalidades de participação, são úteis documentos de enquadramento, decisões internas e matriz de escopo operacional.
Para o DICT, são relevantes contratos ou anexos técnicos de acesso indireto, matriz de funcionalidades, relatório de testes, logs de chamadas e matriz de permissões. Para chaves Pix, são esperados logs de registro, rejeição, exclusão, sincronismo, consulta a notificações de infração, comunicação ao usuário e análise de exceção por nome social.
Para antifraude, a evidência central é a documentação técnica e funcional da solução de gerenciamento de risco de fraude, incluindo dados utilizados, regras, modelos, critérios de atipicidade, integração com o DICT, gatilhos de tempo diferenciado, rejeição e bloqueio cautelar. Essa documentação deve estar pronta para apresentação ao Banco Central. Também são essenciais logs de decisão antifraude, relatório de validação das regras, base de usuários suspeitos, logs de bloqueio transacional e trilhas de atualização da base de segurança de clientes.
Para o processo de notificação do Banco Central, o artefato esperado é um dossiê completo: notificação recebida, data de recebimento, análise do descumprimento, responsáveis, plano de ação, prazos, evidências documentais, eventual solicitação de dilação de prazo e comprovantes de envio. Como há prazo de cinco dias úteis em hipóteses relevantes, o controle de recebimento e protocolo é um ponto de alta atenção.
Os dispositivos que alteram o art. 89 do Regulamento Pix têm produção de efeitos a partir de 1º de novembro de 2024. Isso afeta os requisitos de solução antifraude, informação ao cliente, restrição a usuários suspeitos, base semestral de segurança, documentação da solução e dispositivo de acesso cadastrado. No pacote, esses requisitos foram marcados como ativos e vigentes a partir dessa data.
Os demais dispositivos foram tratados como de efeitos imediatos a partir da publicação, pois a própria norma distingue esse regime no art. 4º. Não foram criados requisitos encerrados ou históricos porque a Resolução BCB nº 403/2024 não estabelece, por si só, encerramento de obrigações próprias extraídas neste pacote. Revogações expressas foram registradas em alterações de requisitos para possível inativação de itens existentes baseados nos dispositivos revogados.
Alguns dispositivos foram mantidos como documentoPonto ou alteração, sem virarem requisito autônomo. O preâmbulo foi usado apenas para identificação e referências citadas. A regra de facultatividade do Pix Cobrança foi tratada como ponto de escopo, porque não cria, por si, uma obrigação operacional nova independente nesta resolução. A definição de dispositivo de acesso foi usada como apoio ao requisito de cadastramento de dispositivo. A definição de caso que não constitui falha operacional foi mantida como ponto interpretativo, pois orienta a leitura do processo de devolução, mas não exige ação empresarial própria separada.
As alterações de desligamento e exclusão de participante foram registradas como efeito alterador. Elas são importantes para a governança de participação no Pix, mas dependem de evento específico ou ato do Banco Central, sem constituir rotina autônoma comparável aos requisitos de antifraude, DICT, chaves, canais e notificações. As exceções para Secretaria do Tesouro Nacional, liquidantes especiais e instituições usuárias foram tratadas como pontos de escopo e refletidas na análise de aplicabilidade, não como obrigações empresariais isoladas.
A curadoria também evitou transformar cada referência normativa citada em requisito. A Resolução BCB nº 80/2021, a Resolução BCB nº 81/2021, os manuais do Pix e a Instrução Normativa BCB nº 491/2024 foram catalogados como referências quando úteis para entender ou executar o comando da Resolução BCB nº 403/2024. Eles não foram usados para consolidar o estado atual do Regulamento Pix nem para criar obrigações que não tenham nascido do documento-fonte analisado.
A implementação deve priorizar os requisitos de alta criticidade. O primeiro grupo é formado por solução antifraude, integração com DICT, restrição de contas de usuários suspeitos, cadastramento de dispositivos, base semestral de segurança de clientes e múltiplos bloqueios/devoluções parciais por fraude. Esses itens combinam risco regulatório, risco operacional, proteção de usuários e necessidade de evidência sistêmica.
O segundo grupo é formado por governança de participação e terceiros: instituição usuária, liquidante especial, acesso indireto ao DICT, restrição de funcionalidades para iniciadores e modelos de terceiros em iniciação ou recebimento Pix. Esses temas devem ser conectados a contratos, arquitetura, produtos e matriz de responsabilidades.
O terceiro grupo é formado por comunicação e resposta: informação ao cliente sobre prevenção a fraude, comunicação de motivo de rejeição de chave Pix e resposta a notificações do Banco Central. Esses itens exigem cuidado editorial, trilha de atendimento e controle de prazo.
Em todos os casos, a instituição deve evitar evidências genéricas. O Banco Central tende a solicitar comprovação concreta: logs, parametrizações, relatórios, dossiês, testes, mensagens enviadas, contratos e documentação funcional. Por isso, o pacote sugere controles e evidências que mencionam objetos específicos, como dispositivo de acesso, DICT, chave Pix, solução antifraude, base de segurança de clientes, aplicativo principal, bloqueio cautelar, devolução parcial e plano de ação.
Temas
