Altera o regulamento do Pix para aprimorar mecanismos de segurança e validação das chaves.
A Resolução BCB nº 457/2025 reforça mecanismos de segurança do Pix e altera fluxos de chaves, regularidade cadastral e dispositivos de acesso.
📌 Exige validação de posse, consentimento, nome e regularidade de CPF/CNPJ.
⚠️ Impacta registro, alteração, portabilidade, reivindicação e exclusão de chaves Pix.
🧾 Requer evidências técnicas de DICT, logs de canal, controles de dispositivo e trilhas de saneamento cadastral.
A Resolução BCB nº 457/2025 é uma norma alteradora do Regulamento do Pix, anexo à Resolução BCB nº 1/2020. O documento não cria um novo regulamento autônomo do Pix; ele altera dispositivos específicos para reforçar controles de segurança ligados a chaves Pix, regularidade cadastral, portabilidade, reivindicação de posse e uso de dispositivos de acesso. Por isso, este pacote foi construído como retrato-fonte da norma alteradora: foram extraídos apenas os comandos que nascem da Resolução BCB nº 457/2025, sem duplicar todo o conjunto de obrigações do Regulamento do Pix.
O núcleo operacional da norma está na exigência de maior consistência entre as chaves Pix e os registros oficiais de CPF e CNPJ, com impactos diretos sobre onboarding, cadastro, KYC, canais digitais, gestão de chaves, integração com o DICT e prevenção a fraudes. O participante passa a precisar demonstrar que valida posse, consentimento e nome antes do registro de chave, que só registra chave após abertura concluída da conta transacional, que impede registro para CPF ou CNPJ irregular, que exclui chaves com divergência fraudulenta ou irregularidade cadastral, e que corrige inconsistências quando elas não caracterizam fraude.
A resolução também restringe fluxos de alteração e reivindicação. A chave aleatória deixa de ser alcançada pelo procedimento de alteração de informações do art. 66. A reivindicação de posse passa a ser admitida somente para chaves do tipo número de telefone celular. Para portabilidade e reivindicação de posse, a norma aplica as exigências do art. 57 na forma definida pelo Manual Operacional do DICT, com redação considerada já com a retificação publicada em 20 de março de 2025.
O sujeito operacional da norma é o participante do Pix. No dicionário de segmentação disponível, não existe uma tag específica para “participante do Pix”. Por isso, a segmentação usa instituições financeiras e instituições de pagamento como aproximação dos principais sujeitos regulados empresariais alcançados. Essa é uma segmentação conservadora para fins de produto: ela evita enviar o requisito a todas as empresas, mas pode não representar todas as modalidades específicas de participação no Pix quando a taxonomia da plataforma não tiver granularidade suficiente.
A aplicabilidade concreta depende da função desempenhada no arranjo Pix. Nem toda empresa do setor financeiro executará todos os requisitos: alguns dependem de registrar chaves, manter contas transacionais, processar portabilidade, operar reivindicação de posse, manter canais digitais para pessoa natural, ou gerenciar dispositivos de acesso. Por isso, cada requisito descreve no campo de aplicabilidade o gatilho operacional específico.
A norma impacta principalmente áreas de Pix e pagamentos, cadastro e KYC, tecnologia, riscos e controles, prevenção a fraude, atendimento e operações. Jurídico e compliance são relevantes para interpretação e governança do pacote, mas não foram incluídos em massa como público operacional de todos os requisitos. O foco de público interno ficou nas áreas que tendem a executar, parametrizar, evidenciar ou testar os controles.
O primeiro bloco operacional está no registro de chaves Pix. A norma exige validação de posse da chave com o usuário final, consentimento do usuário e validação do nome a ser vinculado à chave conforme CPF ou CNPJ. Essa validação precisa estar antes da solicitação ao DICT e deve gerar trilha de auditoria. Além disso, o registro só pode ocorrer após a conclusão do processo de abertura da conta transacional, incluindo a verificação da identificação do titular. Esse ponto exige integração real entre onboarding, status da conta e canal de registro de chave.
O segundo bloco trata da regularidade cadastral. O participante só pode solicitar registro de chave Pix para usuário cujo CPF ou CNPJ esteja em situação considerada regular conforme o Manual Operacional do DICT. A norma também passa a exigir exclusão de chaves quando houver ausência de correspondência entre dados vinculados à chave e CPF ou CNPJ, com indícios de uso fraudulento, ou quando o CPF ou CNPJ vinculado estiver em situação irregular. Na prática, isso demanda rotinas de consulta, varredura, bloqueio, saneamento e exclusão com evidência da causa.
O terceiro bloco é a correção de inconsistências. Antes de alterar dados vinculados à chave, o participante deve garantir correspondência com CPF ou CNPJ. Quando forem identificadas inconsistências que não caracterizem fraude, o participante pode solicitar alteração sem anuência do usuário final para corrigir o dado. Esse ponto exige uma classificação cuidadosa: inconsistência simples deve seguir para correção; divergência com indício de fraude pode exigir exclusão ou outro tratamento. A trilha da decisão é tão importante quanto a ação técnica.
O quarto bloco envolve restrições nos fluxos de alteração e reivindicação. A retirada da chave aleatória do procedimento de alteração de informações exige bloqueio sistêmico e revisão de canais. A restrição da reivindicação de posse a chaves de número de telefone celular exige validação por tipo de chave, rejeição de pedidos inelegíveis e comunicação adequada ao usuário final. Portabilidade e reivindicação de posse devem aplicar as exigências do art. 57 conforme o Manual Operacional do DICT.
O quinto bloco trata de dispositivos de acesso. Os participantes devem garantir que determinados processos e a iniciação de transação Pix por cliente pessoa natural ocorram por dispositivo de acesso previamente cadastrado, ressalvadas exceções e condições definidas pelo Banco Central. A norma também remete as diretrizes de cadastramento e gerenciamento de dispositivos a documento específico. Esse ponto conecta o Regulamento do Pix à disciplina operacional de dispositivo de acesso, controles de canal e regras para dispositivo não cadastrado.
A resolução entrou em vigor na data de sua publicação, mas possui produção de efeitos escalonada. Os dispositivos relacionados ao art. 66, ao parágrafo único do art. 67 e ao art. 71 produzem efeitos a partir de 1º de abril de 2025. As alterações do art. 57, caput, do art. 57, § 4º, inciso II, e do art. 64, § 1º, produzem efeitos a partir de 1º de julho de 2025. As alterações dos arts. 68 e 70 produzem efeitos a partir de 1º de outubro de 2025. Os demais dispositivos têm efeitos imediatos.
Como este pacote foi gerado em 31 de maio de 2026, as datas expressas já estão no passado. Por isso, os requisitos foram marcados como ativos e vigentes, com as datas de início preservadas para rastreabilidade. Nenhum requisito foi marcado como encerrado ou de vigência futura, porque a própria norma-fonte não estabelece encerramento dos comandos operacionais extraídos.
A instituição participante do Pix deve conseguir demonstrar que seus fluxos de registro, alteração, portabilidade, reivindicação, exclusão e iniciação por dispositivo foram atualizados. Os controles mais importantes são sistêmicos: bloqueios de registro antes de conta aberta, validação de regularidade de CPF ou CNPJ, impedimento de alteração de chave aleatória, elegibilidade da reivindicação somente para celular, e validação de dispositivo cadastrado antes de ações Pix relevantes.
Também são necessários controles detectivos. A norma cria dependência forte de qualidade cadastral; portanto, relatórios de divergência, reconciliações entre base interna, DICT e registros oficiais, amostras de portabilidade, amostras de reivindicação e relatórios de tentativas rejeitadas são evidências relevantes. A empresa deve preservar logs de decisão e trilhas de tratamento, especialmente para exclusões e correções realizadas sem anuência do usuário.
A área de tecnologia deve revisar integrações, APIs, canais digitais, regras de validação e logs. A área de cadastro/KYC deve garantir a confiabilidade da base e das consultas de CPF/CNPJ. A área de Pix ou pagamentos deve ser dona dos fluxos operacionais. Riscos e controles devem testar a eficácia das travas e a aderência das exceções. Atendimento deve estar preparado para explicar rejeições, exclusões e limitações de reivindicação ao usuário final.
O primeiro ponto de atenção é a distinção entre divergência cadastral simples, situação irregular e indício de fraude. A norma trata esses cenários de forma diferente: alguns casos exigem correção; outros podem exigir exclusão. Um controle fraco pode gerar tanto manutenção indevida de chave irregular quanto exclusão sem base suficiente.
O segundo ponto é a retificação de 20 de março de 2025. Para os arts. 68 e 70, o texto considerado neste pacote é o retificado, no qual a portabilidade e a reivindicação de posse remetem às exigências do art. 57, sem a referência ao art. 56, § 3º, que constava da redação originalmente publicada. Isso foi absorvido nos requisitos de portabilidade e reivindicação.
O terceiro ponto é a segmentação. Como o dicionário não possui tag específica para participante do Pix, o pacote usa instituições financeiras e instituições de pagamento como aproximação. Empresas que não sejam participantes do Pix não devem receber automaticamente estes requisitos apenas por atuarem em tema financeiro amplo. A aplicabilidade depende do enquadramento como participante e da execução do fluxo específico.
O quarto ponto é a regra de retrato-fonte. Este pacote não consolida alterações posteriores ao Regulamento do Pix nem altera status de requisitos com base em atos posteriores não fornecidos como documento-fonte. Atos complementares operacionais, como o Manual Operacional do DICT e normas sobre dispositivo de acesso, foram usados apenas como referências de execução quando diretamente úteis.
O preâmbulo foi mantido como contexto e referência, mas não virou requisito por não conter comando operacional empresarial autônomo. O art. 2º foi tratado principalmente em alterações de requisitos, porque revoga dispositivos da norma alterada. As revogações foram refletidas nos requisitos quando geram efeito operacional próprio, como a restrição da alteração de chave aleatória e da reivindicação de posse. O art. 3º foi usado para definir vigência operacional dos requisitos, sem virar requisito autônomo.
Foram criados requisitos separados quando havia diferença operacional clara: registro após abertura de conta, regularidade de CPF/CNPJ para registro, exclusão de chave irregular, correção de inconsistência, portabilidade, reivindicação, limitação de tipo de chave e dispositivo de acesso. Essa granularidade favorece workflow, teste de controle, evidência e roteamento interno.
A fonte oficial do Banco Central foi localizada e usada para identificação do documento, e a norma é indicada como publicada no DOU de 7 de março de 2025 e retificada em 20 de março de 2025. No ambiente de extração, a página oficial do BCB dependeu de JavaScript para renderização completa; por isso, o texto operacional foi conferido com recortes disponíveis em resultados oficiais e com transcrição pública paralela. O pacote foi marcado como “revisar” no manifest para sinalizar que, antes de promoção definitiva como curadoria certificada, convém confrontar o texto integral com a publicação oficial no DOU, Sisbacen ou página oficial renderizada do Banco Central.
Temas
