El Banco Central de Brasil aprobó una nueva normativa que impone límites operativos más estrictos a las fintech del país, en respuesta a una serie de ciberataques que expusieron vulnerabilidades graves en el sistema financiero.
La medida, que entró en vigor de forma inmediata, busca frenar el avance del crimen organizado, que en los últimos meses logró desfalcos millonarios mediante el uso de plataformas tecnológicas no reguladas.
Según el organismo, la decisión no apunta contra el sector fintech en su conjunto, sino contra prácticas que comprometen la seguridad del ecosistema financiero brasileño.
Entre los cambios más significativos se encuentra la imposición de un límite de 15.000 reales (unos u$s2.775) para transferencias electrónicas realizadas por instituciones de pago no autorizadas, incluso a través del sistema de pagos instantáneos Pix. Este tope podrá ser levantado únicamente si las entidades demuestran haber implementado controles de seguridad certificados por terceros independientes.
Además, se adelantó el plazo para que las fintech obtengan autorización regulatoria: la fecha límite pasó de diciembre de 2029 a mayo de 2026, lo que obliga a decenas de empresas a acelerar sus procesos de formalización si desean mantenerse operativas.
La normativa también afecta a los Proveedores de Servicios de Tecnología de la Información (PSTI), que deberán contar con un capital mínimo de 15 millones de reales para acceder a la Red del Sistema Financiero Nacional. Aquellas empresas que no cumplan con este requisito en un plazo de cuatro meses podrían enfrentar sanciones que incluyen la revocación de su acreditación.
En paralelo, se prohibió que cooperativas figuren como responsables del Pix de las entidades de pago, lo que obliga a modificar contratos vigentes en un plazo de 120 días.
El detonante de estas medidas fue una serie de ciberataques que afectaron a empresas como Sinqia y C&M Software, utilizadas como intermediarias por varias fintech. En uno de los incidentes, se desviaron fraudulentamente más de 700 millones de reales a través de Pix, afectando incluso a la filial local de HSBC.
Las autoridades vincularon a algunas firmas menores, como BK Instituição de Pagamento, con el grupo criminal Primeiro Comando da Capital, acusado de utilizar estas plataformas para lavar dinero. Aunque las empresas involucradas negaron cualquier irregularidad, el Banco Central decidió endurecer el marco regulatorio para evitar nuevos episodios.
Las grandes compañías del sector, como Nu Holdings (dueña de Nubank) y Mercado Pago (filial de Mercado Libre), quedaron exentas de las restricciones más severas, ya que operan con filiales previamente autorizadas. Sin embargo, deberán adecuarse a los nuevos requisitos bajo amenaza de sanciones.
En tanto, el presidente del Banco Central, Gabriel Galípolo, defendió la medida como una acción necesaria para preservar la integridad del sistema financiero: "No buscamos demonizar a las fintech, sino proteger a los usuarios y garantizar que todas las instituciones operen bajo estándares mínimos de seguridad", afirmó durante la presentación oficial.