O Banco Central atualizou a norma do Pix que estabelece as diretrizes para cadastramento de dispositivos para transações Pix. Uma das novidades é a previsão expressa de que as instituições de pagamento são “responsáveis por falhas na implementação dos mecanismos para identificação do usuário titular da conta”.
A medida, publicada no Diário Oficial desta quinta-feira, 20, complementa regras operacionais que vão no mesmo sentido de recentes alterações promovidas nas regras do Pix, que passaram a prever a checagem de dados dos usuários conforme as bases da Receita Federal, com a exclusão das chaves de CPFs ou CNPJs que estejam suspensos, cancelados ou nulos, nas oportunidades de verificação a serem realizadas pelas instituições financeiras a partir de julho (veja no cronograma mais abaixo).
As mudanças promovidas na norma publicada nesta manhã incluem também recomendações de segurança como meios de autenticação e hipóteses de exclusão de contas por inatividade. Veja nos tópicos abaixo:
Mecanismos de verificação
O uso de ferramentas de verificação já estão entre as obrigações das instituições financeiras no processo de cadastramento de dispositivos de acesso. A versão anterior exigia “usar códigos de verificação ou autenticação em dois fatores”. Já a norma publicada nesta quinta-feira, 20, troca a redação para “mecanismos seguros” recomendando as seguintes opções:
- Smartcards (cartão que contém um chip que gera e armazena certificados digitais);
- tokens criptográficos;
- tokens OTP, one-time password (como o envio de código por SMS, e-mail ou aplicativos de autenticação); ou
- acesso biométrico.
Exclusão de dispositivos
Houve uma alteração sutil nas opções que envolvem o gerenciamento do próprio usuário sobre os dispositivos cadastrados. A funcionalidade de “bloqueio” de determinado aparelho, que poderia ser entendido como uma inviabilidade temporária, passa a ser uma possibilidade facultativa, ao invés de obrigatória, como anteriormente. Apesar disso, continua sendo exigida a ferramenta de “exclusão” e “inclusão” de dispositivos.
Ainda sobre o gerenciamento dos aparelhos, a norma determina que, a partir de 1º de julho de 2025, as instituições devem excluir um dispositivo já cadastrado, mesmo sem anuência do cliente, nos casos em que não houver acesso ao aplicativo de pagamento há pelo menos um ano. Na versão anterior, o acesso ao app não era o fator determinante, mas sim os casos em que o usuário não tivesse iniciado uma transação Pix nesse período.
Dispositivos sem cadastro
Também a partir de 1º de julho, caso o cliente tente fazer um Pix ou solicitar o registro em dispositivo que não esteja cadastrado, o BC passa a permitir a transação desde que a instituição “valide cada ação individualmente através de outro dispositivo que esteja cadastrado para o mesmo usuário e para a mesma conta”. Neste caso, o limite da transferência será de R$ 1 mil por dia.
Cronograma
Outra instrução, publicada nesta semana, traz uma atualização do histórico de revisão de normas do Pix, detalhando as datas de entrada em vigor das regras. A etapa de validação dos dados e situação cadastral do usuário na Receita Federal durante a inclusão e alteração de chaves, por exemplo, valerá a partir de julho, e durante a portabilidade e a reivindicação de posse de chaves, em outubro. Veja a íntegra do cronograma neste link.
Imagem principal: ilustração gerada com IA pelo Mobile Time
