Altera procedimentos operacionais do Pix para aprimorar requisitos de segurança dos usuários recebedores no Pix Automático.
A IN BCB nº 634/2025 reforça controles de segurança do Pix Automático para usuários recebedores.
📌 Cria bloqueios antes do envio de instruções de pagamento.
🔎 Exige identificação do recebedor com dados do CNPJ da Receita Federal.
🛡️ Introduz verificação de idoneidade antes da contratação e durante o contrato.
⚠️ Exige atenção a DICT, histórico de relacionamento e habitualidade transacional quando aplicáveis.
A Instrução Normativa BCB nº 634, de 5 de junho de 2025, é uma norma alteradora. Ela modifica a Instrução Normativa BCB nº 513/2024, que trata de procedimentos operacionais do Pix Automático, do Pix Agendado e do Pix Cobrança, para aprimorar requisitos de segurança relacionados aos usuários recebedores no Pix Automático.
O foco operacional da norma é estreito, mas relevante: impedir o envio de instruções de pagamento em situações de risco ou sem confirmação de permissão, reforçar a identificação cadastral do usuário recebedor com dados do CNPJ mantidos pela Receita Federal e introduzir uma verificação mínima de idoneidade do recebedor antes da contratação do Pix Automático e durante a vigência do contrato de prestação do serviço.
No modo retrato-fonte, este pacote não recria a IN BCB nº 513/2024 como um todo. Ele extrai apenas os comandos que nascem da IN BCB nº 634/2025 e registra os efeitos de alteração sobre a norma-alvo em alteracoesRequisitos. Essa separação é importante para evitar duplicidade de obrigações e preservar a rastreabilidade: os requisitos aqui propostos são os novos comandos materiais ou as novas redações operacionais trazidas pela norma alteradora.
Os comandos empresariais relevantes recaem sobre o participante ou prestador de serviços de pagamento do usuário recebedor no âmbito do Pix Automático. A norma não é dirigida genericamente a todas as empresas nem a todos os usuários do Pix. Ela afeta instituições que participam do arranjo Pix e atuam no lado do recebedor, especialmente no contexto de oferta, contratação, manutenção e execução de cobranças por Pix Automático.
Como o dicionário de segmentação disponível não possui tag específica para “participante Pix”, “prestador de serviços de pagamento do usuário recebedor” ou “PSP recebedor no Pix Automático”, a curadoria usa a aproximação por instituições financeiras e instituições de pagamento. Essa escolha evita direcionar a norma a empresas não financeiras em geral, mas ainda exige revisão pelo cliente quando o workspace possuir taxonomia mais granular para participantes do Pix, provedores de conta transacional ou instituições com acesso ao DICT.
A aplicabilidade também possui condições operacionais internas. O requisito de uso de informações de segurança do DICT só se aplica quando o participante tiver acesso ao diretório. O requisito de histórico de relacionamento, por sua vez, menciona expressamente os casos em que o participante atua como provedor de conta transacional. Essas condições foram preservadas nos textos dos requisitos e nos resumos de aplicabilidade para reduzir falso positivo operacional.
O primeiro bloco altera o art. 5º da IN BCB nº 513/2024 e cria vedações de envio de instrução de pagamento. O prestador de serviços de pagamento do recebedor não deve enviar a instrução quando a permissão concedida pelo usuário pagador ao usuário recebedor não estiver confirmada. Isso exige validação preventiva do status da permissão antes de cada envio, com parametrização sistêmica, trilha de auditoria e tratamento de exceções.
O mesmo bloco também impede o envio da instrução quando o usuário recebedor estiver enquadrado na situação prevista no art. 89, § 2º, do Regulamento do Pix. Como a IN BCB nº 634/2025 faz remissão ao Regulamento do Pix, a execução depende de regra operacional que identifique esse enquadramento de forma controlada. O pacote registra essa dependência como referência normativa e propõe evidências como base ou regra de recebedores impedidos, logs de bloqueio e documentação da interpretação operacional.
O segundo bloco altera o art. 5º para exigir que o prestador use as informações constantes do CNPJ, conforme registro mantido pela Receita Federal, para preencher as informações de identificação do usuário recebedor nas instruções de pagamento e em todos os demais fluxos relacionados ao Pix Automático. Esse comando é mais amplo do que a mensagem de pagamento isolada: ele alcança os demais fluxos do produto em que a identificação do recebedor seja formada, trafegada, apresentada ou validada.
O terceiro bloco inclui o art. 15-A e institui a verificação de idoneidade do recebedor. A verificação deve ocorrer antes da contratação do Pix Automático e também durante a vigência do contrato de prestação do serviço. A norma estabelece critérios mínimos que devem ser considerados: dados cadastrais da empresa, indicadores sobre a atividade empresarial, informações de segurança armazenadas no DICT quando houver acesso, histórico de relacionamento quando o participante atuar como provedor de conta transacional e habitualidade transacional com o participante.
A verificação de idoneidade é o ponto de maior impacto de governança. Ela exige que a instituição conecte onboarding, cadastro, prevenção a fraudes, produto Pix Automático, tecnologia, riscos e controles. A instituição não deve tratar a idoneidade como uma checagem informal ou puramente documental. O requisito demanda procedimento, critérios mínimos, registro de decisão e capacidade de reavaliação durante o relacionamento.
Os dados cadastrais mínimos incluem data de inscrição no CNPJ, situação cadastral de sócios e administradores no CPF, tipo de capital da empresa, CNAE e natureza jurídica. Esses dados devem ser coletados e considerados na decisão; não basta armazená-los em cadastro se eles não forem usados como insumo do processo de idoneidade. A evidência mais forte tende a ser um dossiê que mostre a origem dos dados, a data da análise, o resultado da avaliação e a decisão tomada.
Os indicadores de atividade exigem uma avaliação menos mecânica e mais contextual. A instituição deve considerar a compatibilidade entre a atividade econômica e o serviço oferecido para o Pix Automático, quantidade de funcionários, capital social e faturamento. Esses elementos podem sinalizar inconsistência entre o perfil declarado do recebedor e o uso pretendido do produto. A norma não define uma régua matemática única, portanto a empresa deve documentar seus critérios e aprovações, especialmente quando houver exceções ou perfis atípicos.
Quando houver acesso ao DICT, as informações de segurança armazenadas no diretório passam a ser insumo mínimo da análise. Isso demanda integração operacional e tecnológica, pois a informação deve ser capturada, interpretada e ligada ao dossiê de idoneidade. A ausência de evidência de uso do DICT, em instituições com acesso ao diretório, pode enfraquecer a capacidade de demonstrar aderência ao art. 15-A, III.
A análise de histórico de relacionamento e habitualidade transacional reforça a dimensão comportamental. A norma menciona tempo de abertura da conta e uso de outros meios de cobrança quando o participante atua como provedor de conta transacional. Também exige considerar a habitualidade transacional com o participante. Esses itens conectam a verificação de idoneidade a dados internos de relacionamento, comportamento e padrão de uso do cliente recebedor.
Para as vedações de envio de instrução, o controle mais importante é preventivo e sistêmico. A instrução não deve ser enviada quando a permissão não estiver confirmada ou quando o recebedor estiver enquadrado na condição impeditiva mencionada no Regulamento do Pix. Evidências úteis incluem logs de validação, registros de consulta, relatórios de bloqueio, documentação de regra de negócio e testes de parametrização.
Para a identificação do recebedor com dados do CNPJ, o controle envolve governança de dados cadastrais. A instituição deve demonstrar quais campos do CNPJ alimentam os fluxos do Pix Automático, como a informação é atualizada e como divergências são tratadas. O mapeamento de campos, a trilha de consulta ao cadastro oficial e o relatório de conciliação cadastral são evidências úteis.
Para a idoneidade, a evidência central é o dossiê do recebedor. Esse dossiê deve reunir informações cadastrais, indicadores econômicos, consultas e sinais de segurança, histórico de relacionamento, habitualidade transacional e decisão final. Também é recomendável manter matriz de critérios, alçadas de aprovação, registros de exceção e evidências de reavaliação durante a vigência do contrato.
A norma não cria uma recorrência calendárica expressa. Por isso, o pacote não gera séries de recorrência. Os gatilhos foram tratados como eventos: antes do envio da instrução, antes da contratação do Pix Automático, durante a vigência do contrato, quando houver acesso ao DICT e quando a instituição atuar como provedora de conta transacional.
O art. 2º da IN BCB nº 634/2025 estabelece vigência diferenciada. A alteração do art. 5º, § 8º, II, relativa ao recebedor enquadrado na situação do art. 89, § 2º, do Regulamento do Pix, entrou em vigor em 16 de julho de 2025. As demais alterações entraram em vigor em 16 de junho de 2025.
Como a data atual do pacote é posterior a esses marcos, todos os requisitos foram tratados como ativos e vigentes no retrato-fonte. O pacote, porém, preserva as datas de início em cada requisito para permitir auditoria histórica, análise de janela de implementação e reconstrução de responsabilidades desde a entrada em vigor.
A ementa, o preâmbulo e a nota sobre análise de impacto regulatório foram registrados apenas como contexto ou item não convertido, pois não criam conduta empresarial autônoma verificável. O art. 1º, caput, também não virou requisito isolado, pois sua função é introduzir a alteração da norma-alvo; os comandos operacionais estão nos dispositivos alterados.
O art. 15-A foi granularizado em requisitos separados porque os blocos de informação exigem evidências e controles diferentes. A rotina geral de idoneidade cuida do momento e da governança da análise. Os dados cadastrais, indicadores de atividade, informações do DICT, histórico de relacionamento e habitualidade transacional foram tratados como unidades práticas distintas, para facilitar workflow, checklist, evidência e teste de controle.
O art. 2º foi convertido em ponto de documento e usado para preencher a vigência operacional dos requisitos, mas não virou obrigação autônoma, porque sua função é temporal. A nota final sobre AIR também não foi convertida, pois apenas explica a razão pela qual a alteração do Regulamento do Pix e documentos correlatos não se sujeitou à produção prévia de análise de impacto regulatório.
A primeira atenção é garantir que o produto Pix Automático tenha bloqueios antes do envio da instrução, e não apenas detecções posteriores. Os requisitos do art. 5º, § 8º, são preventivos: se a condição impeditiva existir, a instrução não deve ser enviada.
A segunda atenção é a governança da fonte cadastral. O uso de dados do CNPJ mantidos pela Receita Federal deve aparecer nas instruções de pagamento e nos demais fluxos relacionados ao Pix Automático. Isso pode demandar revisão de campos, integrações e mensagens, especialmente quando a instituição usa bases cadastrais internas enriquecidas.
A terceira atenção é evitar que a verificação de idoneidade vire uma caixa-preta. Como a norma lista critérios mínimos, a instituição deve conseguir demonstrar coleta, consideração e decisão. A aderência fica mais forte quando há dossiê, matriz de critérios, trilha de decisão, alçadas e tratamento de exceções.
A quarta atenção é a integração com dados de segurança e comportamento. DICT, histórico de relacionamento e habitualidade transacional tendem a envolver sistemas diferentes. A governança do requisito deve deixar claro quem é responsável por disponibilizar os dados, quem avalia o risco, como a decisão é tomada e como a evidência é preservada.
A página oficial do Banco Central foi localizada, mas a ferramenta de navegação abriu a página com aviso de dependência de JavaScript. Por isso, a identificação oficial foi confirmada no índice do BCB e o texto integral foi conferido por reprodução da publicação no DOU em fonte jurídica complementar. Esse ponto justifica o status de revisão no manifest, embora a identificação do documento e o conteúdo central tenham sido conferidos de forma consistente.
A segmentação também possui limitação controlada. Sem tag específica para participante Pix, PSP recebedor ou provedor de conta transacional, a curadoria usa instituições financeiras e instituições de pagamento como aproximação. Em ambiente com taxonomia mais granular, recomenda-se substituir essa expressão por tags específicas de participante Pix, Pix Automático, provedor de conta transacional, acesso ao DICT ou PSP recebedor.
Este artefato ainda não tem tags.
