Segurança no Pix: o que são as novas exigências do Banco Central

Topaz
Jul 15, 2026

Resuma este artigo em:

As novas regras do Pix em 2026 redefinem o padrão antifraude do meio de pagamento mais utilizado do Brasil, com responsabilidades ampliadas para as instituições participantes, multas de até R$ 500 milhões por descumprimento e janela curta para implementação.

A segurança no Pix virou tema central da agenda regulatória brasileira. O Banco Central publicou um conjunto de resoluções entre agosto e setembro de 2025 que reforçam o arcabouço antifraude do sistema:

  • a Resolução BCB nº 493/2025 criou o MED 2.0 (Mecanismo Especial de Devolução), com rastreamento em cadeia de até cinco camadas de contas, bloqueio automatizado e contestação digital direta pelo aplicativo, obrigatório a partir de 2 de fevereiro de 2026;
  • a Resolução BCB nº 506/2025 alterou o Regulamento do Pix com novo regime de enforcement, marcação de fraude transacional e ampliação do bloqueio cautelar;
  • a Resolução BCB nº 507/2025 aprovou o novo Manual de Penalidades, com multas que podem chegar a R$ 500 milhões para falhas de segurança em instituições de grande porte;
  • a Resolução BCB nº 501/2025 estabeleceu a obrigatoriedade de rejeição compulsória de transações destinadas a contas com fundada suspeita de fraude.

O contexto justifica a urgência. O Pix registra média diária superior a 230 milhões de transações em 2026, com picos históricos acima de 313 milhões de operações em um único dia, segundo os dados oficiais do Pix em Números do Banco Central.

A velocidade e a irreversibilidade do meio o tornaram alvo prioritário de fraudes: e-commerce e pagamentos instantâneos concentram cerca de 70% das tentativas de fraude no Brasil, segundo o CERT.br/NIC.br, e o prejuízo consolidado com fraudes via Pix atingiu R$ 6,5 bilhões em 2025.

Em paralelo, ataques de vishing cresceram 449% no mundo em 2025, segundo a Keepnet Labs, com aplicação direta em golpes de engenharia social que culminam em transferências Pix.

A resposta exige defesa orquestrada da iniciação à liquidação. Não basta ter regras isoladas em cada ponto do fluxo: a estratégia precisa ser integrada, com inteligência em tempo real, análise contextual de cada transação e capacidade de bloquear operações suspeitas sem comprometer a experiência do cliente legítimo.

Especialistas estimam que o novo arcabouço pode reduzir em até 40% os golpes bem-sucedidos quando combinado com defesa antifraude robusta nas instituições participantes, conforme divulgado pela Agência Brasil.

A Topaz acompanha essa evolução com a suíte modular SecureJourney, adotada por mais de 90% do mercado financeiro brasileiro.

A integração nativa com a família TechPay sustenta uma defesa antifraude que vai do primeiro acesso à liquidação, com conformidade nativa às novas exigências do Banco Central e proteção que opera em segundo plano, sem comprometer a fluidez do cliente legítimo.

Segurança no Pix: as principais exigências do Banco Central que entram em vigor em 2026

O conjunto de resoluções publicado pelo Banco Central entre agosto e setembro de 2025, com vigência escalonada até 2026, redesenha o arcabouço antifraude do Pix em três frentes estratégicas: devolução acelerada com rastreamento em cadeia, limitação de risco transacional para participantes não credenciados e enforcement com penalidades dissuasivas.

Para instituições financeiras, o novo cenário impõe uma decisão clara: investir em uma operação antifraude integrada da iniciação à liquidação, ou conviver com multas que podem chegar a R$ 500 milhões, suspensão cautelar de participantes e perda de credibilidade institucional.

MED 2.0 (Mecanismo Especial de Devolução): rastreamento em cadeia e devolução acelerada

A Resolução BCB nº 493/2025 cria o MED 2.0, mecanismo que permite rastrear o caminho do dinheiro fraudado em até cinco camadas de contas e devolver valores em até 11 dias após a contestação.

A diferença em relação ao MED original é estrutural. Antes, o bloqueio se limitava à conta que recebia o Pix fraudulento, e à movimentação rápida dos recursos para contas-passagem inviabilizava a recuperação. Agora, todas as instituições participantes do Pix são obrigadas a bloquear valores suspeitos de fraude por até 11 dias durante a análise, com rastreamento automatizado em múltiplas camadas e cooperação obrigatória entre PSPs no fluxo de devolução.

A implementação obrigatória começa em 2 de fevereiro de 2026, e instituições despreparadas enfrentam risco operacional e regulatório imediato.

Limite de R$ 15 mil para participantes conectados via PSTI não credenciado

As Resoluções BCB nº 494 a 498/2025, publicadas em 5 de setembro de 2025, estabelecem limite máximo de R$ 15 mil por transação Pix para instituições de pagamento não autorizadas pelo BCB e participantes conectados à Rede do Sistema Financeiro Nacional via PSTIs não credenciados.

A medida foi criada como resposta direta a fraudes articuladas que exploraram estruturas de PSTIs (Prestadores de Serviços de Tecnologia da Informação) e IPs não reguladas.

A limitação pode ser removida quando a instituição demonstra, por relatório de auditoria independente, a adesão a controles mínimos de segurança, como não compartilhamento de chaves privadas com o PSTI e validação de integridade transacional.

A regra ressignifica a decisão de make or buy em infraestrutura: ou a instituição investe em conexão direta à RSFN, ou seleciona PSTI já credenciado pelo BCB, ou ajusta sua oferta para operar dentro do teto regulatório.

Regime de enforcement com penalidades dissuasivas

A Resolução BCB nº 506/2025 instituiu o novo regime de enforcement do Pix, com multas-base de R$ 10 mil por dia (ajustadas pelo porte da instituição), suspensão cautelar de participantes e possibilidade de exclusão definitiva do arranjo em casos graves.

A Resolução BCB nº 507/2025, publicada na mesma data, aprovou o novo Manual de Penalidades do Pix, com multas que podem chegar a R$ 500 milhões para instituições de grande porte em casos de falhas graves de segurança.

A norma também introduz o conceito de reincidência específica, com janela de três anos, e aplica penalidade de exclusão para os casos de maior potencial lesivo.

Em paralelo, a Resolução BCB nº 501/2025 estabelece a rejeição compulsória de transações destinadas a contas com fundada suspeita de fraude, ampliando o dever de cuidado das instituições no fluxo de iniciação.

O impacto financeiro do descumprimento deixou de ser hipotético: virou linha de risco no orçamento.

Autoatendimento de contestação pelo aplicativo

Desde 1º de outubro de 2025, todas as instituições participantes do Pix são obrigadas a oferecer um canal digital nativo no aplicativo para que o cliente conteste transações suspeitas sem necessidade de contato com atendente humano.

O autoatendimento elimina o tempo de espera que historicamente reduzia as chances de recuperação dos valores. Para o cliente legítimo, o impacto é direto: a vítima de golpe pode acionar o MED 2.0 com poucos cliques, e o bloqueio em cadeia é disparado em segundos.

Para a instituição, o desafio é equilibrar agilidade com prevenção de falsos reportes, sustentado por motores de decisão capazes de validar contestações em tempo real sem fricção para o cliente.

Compartilhamento de inteligência entre participantes do Pix

A Resolução BCB nº 493/2025 instituiu o GE-Seg (Grupo Estratégico de Segurança) e fortaleceu o compartilhamento de inteligência antifraude entre as instituições participantes, com troca padronizada de dados sobre o caminho do dinheiro fraudado.

A defesa coletiva ganha força em comparação com a atuação isolada de cada instituição. As marcações de fraude no DICT (Diretório de Identificadores de Contas Transacionais) passam a ter impacto transversal em todo o ecossistema do Pix: uma vez identificada uma conta suspeita, todas as transações envolvendo aquele usuário podem ser bloqueadas, com exceção de devoluções.

O modelo amplia a capacidade de proteção, mas exige das instituições integração técnica e governança madura para participar do fluxo sem se tornar elo fraco da cadeia.

Conformidade nativa como diferencial competitivo

A operação integrada dessas exigências regulatórias é o que separa instituições preparadas das que vão enfrentar não apenas penalidades, mas perda de credibilidade junto a clientes, parceiros e investidores institucionais.

A complexidade do novo arcabouço torna a prevenção à fraude um pilar estratégico de governança, com impacto direto sobre o P&L da operação e sobre a posição competitiva no mercado de pagamentos instantâneos.

Principais ameaças à segurança no Pix em 2026: do falso atendente ao controle remoto

A velocidade e a irreversibilidade do Pix transformaram o meio de pagamento mais utilizado do Brasil em alvo prioritário das fraudes financeiras, com prejuízo consolidado de R$ 6,5 bilhões em 2025 segundo dados de mercado.

E-commerce e pagamentos instantâneos concentram cerca de 70% das tentativas de fraude no país, segundo o CERT.br/NIC.br, com vetores cada vez mais sofisticados pela combinação de engenharia social, Inteligência Artificial generativa e malwares de controle remoto. Mapear esses vetores é o primeiro passo para estruturar uma operação antifraude integrada da iniciação à liquidação.

Golpe do falso atendente bancário: deepfake de voz e urgência fabricada

Criminosos se passam por atendentes de segurança do banco e induzem o cliente a realizar Pix sob argumentos como "validação de conta", "transferência para conta-cofre" ou "cancelamento de transação suspeita".

O golpe explora a confiança institucional e a urgência fabricada para neutralizar a análise crítica do cliente. Em 2026, o vetor ganhou sofisticação com clonagem de voz por IA generativa, capaz de reproduzir tom, sotaque e padrões de fala de atendentes reais a partir de amostras públicas.

A defesa exige biometria comportamental durante a sessão para identificar padrões de hesitação, navegação fora do habitual e tempo de operação anormal típicos de cliente manipulado em tempo real, com acionamento de step-up authentication ou bloqueio preventivo antes da consumação da transferência.

Golpe do falso parente em emergência: engenharia social via WhatsApp em escala industrial

Mensagens via WhatsApp simulam familiares próximos em situação de urgência (acidente, sequestro, conta bloqueada, troca de número) e solicitam Pix imediato para conta de "terceiro de confiança".

A IA generativa transformou esse golpe em ataque escalável: criminosos constroem contextos personalizados com dados reais obtidos por vazamentos, geram mensagens convincentes em estilo coloquial do parente e operam em volume industrial com automação.

O contexto é agravado pelo trojan bancário Maverick, identificado pela Kaspersky com mais de 62 mil tentativas em outubro de 2025, distribuído via WhatsApp e capaz de sequestrar a sessão do cliente. A defesa precisa atuar no contexto da transação: análise de destinatário inédito, valor atípico, horário fora do padrão e correlação com sinais de comportamento manipulado.

Phishing com QR Code adulterado: pagamento ao destinatário errado

Adulteração de QR Codes em estabelecimentos físicos, sites de e-commerce e comprovantes de pagamento desvia transferências para contas controladas por criminosos.

O ataque explora o fato de que o QR Code abrevia o nome do destinatário visível no aplicativo do banco, e a maioria dos clientes confirma a operação sem validar a identidade completa do recebedor.

Variantes incluem QR Codes sobrepostos a maquininhas legítimas em estabelecimentos, QR Codes inseridos em e-mails de cobrança falsos e QR Codes em sites clonados que imitam plataformas conhecidas.

A defesa exige análise comportamental durante a leitura do QR Code, validação cruzada do CNPJ do recebedor com bases de risco e alerta visual claro quando há divergência entre o esperado e o destinatário real da operação.

Engenharia social pós-vazamento de dados: confiança construída com informação real

Após vazamentos de bases de dados, criminosos contactam vítimas com informações verdadeiras, como nome completo, CPF, banco de relacionamento, últimas transações e até saldo aproximado, para construir credibilidade antes de induzir a transferência.

O vetor é potencializado pela disponibilidade crescente de bases vazadas no mercado clandestino, com volumes que cresceram exponencialmente nos últimos três anos. O criminoso já chega na ligação ou mensagem sabendo o suficiente para neutralizar as perguntas tradicionais de segurança, e o cliente baixa a guarda diante de quem "obviamente é do banco".

A defesa precisa migrar de autenticação baseada em conhecimento para autenticação baseada em comportamento, com análise contínua de sinais que o criminoso não consegue replicar mesmo de posse dos dados do cliente.

RAT (Remote Access Trojan): controle remoto da sessão autenticada

Malwares de controle remoto assumem o dispositivo do cliente após instalação por engenharia social, e aguardam o login legítimo para realizar a transferência Pix usando a própria sessão autenticada.

O cliente faz a autenticação normal por biometria facial ou senha, e o criminoso, com controle remoto do aparelho, executa o Pix em segundos. A Kaspersky identificou que 80% dos trojans bancários ativos na América Latina têm origem brasileira, com 13 das 18 famílias mais relevantes do mundo desenvolvidas no Brasil.

Como a autenticação inicial é genuína, a defesa só funciona com biometria comportamental durante a sessão, capaz de identificar padrões mecânicos de uso, latência atípica nos comandos e correlação de sinais que evidenciam controle remoto, com bloqueio preventivo antes da autorização da transação.

Fraude na portabilidade de chave Pix: roubo do destinatário antes da transferência

Tentativas de transferir a chave Pix de uma vítima para conta controlada por criminoso, desviando recebimentos legítimos para destinatário fraudulento.

A Resolução BCB nº 493/2025 endureceu a regra ao permitir que a chave aleatória só seja alterada por iniciativa do participante do Pix, não mais por solicitação direta do usuário.

A Resolução BCB nº 506/2025 complementa, proibindo portabilidade e reivindicação de chaves para usuários com notificação de infração, e as Resoluções BCB nº 457/25 e IN BCB nº 655/25 obrigam verificação de CPF/CNPJ e consistência cadastral antes de qualquer alteração.

Ainda assim, a defesa exige autenticação multifator reforçada em todos os pontos críticos de gestão de chaves, com camada comportamental complementar que detecte tentativas automatizadas ou induzidas por engenharia social.

Como estruturar uma operação antifraude integrada para segurança no Pix

A defesa moderna contra fraudes no Pix exige inteligência orquestrada ao longo de todo o ciclo da transação, da pré-iniciação à pós-liquidação.

Não basta ter controles isolados em cada ponto: a velocidade do meio de pagamento e o curto intervalo entre autorização e irreversibilidade impõem uma operação antifraude end-to-end, com correlação de sinais em tempo real, motor de decisão consolidado e capacidade de bloquear operações suspeitas sem comprometer a fluidez do cliente legítimo.

As novas resoluções do Banco Central reforçam essa lógica ao exigir rastreamento em cadeia, marcação de fraude transacional e rejeição compulsória de operações para contas suspeitas.

Pré-iniciação e iniciação: defesa antes da intenção de pagar

A defesa começa antes de o cliente abrir a tela de Pix, com análise comportamental contínua durante toda a sessão autenticada.

Sinais como padrão de digitação, cadência de navegação, pressão de toque na tela, geolocalização, dispositivo e horário de acesso alimentam um perfil comportamental único do cliente, comparado em tempo real com o histórico consolidado.

Quando o cliente abre a tela de Pix, a operação antifraude já tem contexto acumulado sobre a sessão. Indícios de manipulação por engenharia social em tempo real, controle remoto por RAT ou uso por terceiro com credenciais comprometidas são detectados ainda nesta fase, com possibilidade de bloqueio preventivo ou step-up authentication antes que a transação seja submetida.

Autorização: validação contextual da transação específica

No momento da autorização, a operação antifraude correlaciona dados da transação com o histórico do cliente e com inteligência coletiva do ecossistema.

A camada cruza variáveis como destinatário inédito ou de risco, valor atípico para o perfil, horário fora do padrão, sequência incomum de operações e marcação de fraude transacional no DICT (Diretório de Identificadores de Contas Transacionais).

Em paralelo, motores de decisão modernos consultam bases de inteligência antifraude compartilhadas entre instituições, identificando contas com notificação de infração ativa e aplicando rejeição compulsória conforme exige a Resolução BCB nº 501/2025.

A camada decide em milissegundos entre autorizar a operação, acionar autenticação adicional ou bloquear a transação antes da liquidação.

Liquidação e pós-liquidação: monitoramento contínuo e MED 2.0

Após a liquidação, a defesa não termina: a operação antifraude segue monitorando o destino dos recursos e mantém capacidade ativa de rastreamento e devolução em casos de fraude confirmada.

A integração nativa com o MED 2.0 permite bloqueio cautelar de valores em até cinco camadas subsequentes de contas, com devolução em até 11 dias após contestação, conforme a Resolução BCB nº 493/2025.

O monitoramento pós-liquidação também alimenta a base de inteligência antifraude da própria instituição, refinando os modelos comportamentais e a política de risco para os próximos eventos.

Em paralelo, integrações com o GE-Seg (Grupo Estratégico de Segurança) e marcações no DICT consolidam a defesa coletiva do ecossistema, ampliando a capacidade de bloqueio e devolução em escala sistêmica.

Motor de decisão orquestrado: a inteligência que conecta as três fases

A operação só funciona como defesa integrada quando um motor de decisão centralizado consolida os sinais das três fases, pondera com base na política de risco da instituição e decide em milissegundos.

A engine combina análise comportamental contínua, validação contextual da transação, inteligência coletiva do ecossistema e regras parametrizáveis por perfil de cliente e tipo de operação. A defesa torna-se adaptativa ao contexto: cresce em rigor para operações de alto risco e libera com fluidez as transações de cliente legítimo em jornadas habituais.

É essa capacidade de orquestração que separa uma operação antifraude reativa, baseada em regras estáticas, de uma defesa moderna preparada para acompanhar a sofisticação dos ataques que combinam IA generativa, malwares de controle remoto e engenharia social em escala industrial.

Conformidade nativa e diferencial competitivo

A operação antifraude integrada não é apenas resposta às novas exigências regulatórias do Banco Central: é o que sustenta a posição competitiva da instituição no mercado de pagamentos instantâneos.

Instituições com defesa orquestrada da iniciação à liquidação reduzem perdas com fraudes, preservam a receita das jornadas legítimas, evitam o impacto financeiro das novas penalidades do Pix e fortalecem a credibilidade perante clientes, parceiros e investidores.

A complexidade do novo arcabouço regulatório transforma a maturidade antifraude em ativo estratégico, e as tendências e desafios na prevenção à fraude que moldam o mercado em 2026 confirmam essa transformação.

Tecnologias-chave para a segurança no Pix: as cinco camadas que sustentam a defesa moderna

A defesa moderna contra fraudes no Pix se apoia em cinco frentes tecnológicas integradas, cada uma respondendo a uma dimensão específica do ciclo da transação.

A combinação dessas camadas é o que torna a defesa end-to-end capaz de neutralizar vetores que escapariam de soluções unidimensionais, sustentar a conformidade nativa às novas exigências regulatórias e preservar a fluidez do cliente legítimo nas jornadas legítimas de baixo risco.

Biometria comportamental contínua: defesa invisível durante toda a sessão

A biometria comportamental analisa em tempo real o padrão de uso do cliente durante a sessão, identificando comportamentos incompatíveis com o titular legítimo antes que a transação seja autorizada.

A camada monitora cadência de digitação, movimento do mouse, pressão e ritmo de toque na tela, sequência de navegação e padrões de interação que formam uma impressão comportamental única de cada cliente.

Sinais de comportamento mecânico típico de bots, latência atípica que evidencia controle remoto por RAT (Remote Access Trojan) e hesitação fora do habitual que indica cliente sob manipulação por engenharia social em tempo real são detectados em milissegundos, com acionamento de bloqueio preventivo ou step-up authentication antes da consumação do prejuízo.

Análise contextual transacional: validação inteligente em milissegundos

Cada Pix é avaliado com base em dezenas de variáveis contextuais cruzadas com o histórico do cliente, com classificação de risco em tempo real por modelos de Machine Learning.

Os sinais analisados incluem destinatário inédito ou marcado por notificação de infração no DICT, valor atípico para o perfil, horário fora do padrão, dispositivo desconhecido, geolocalização inconsistente e sequência incomum de operações na mesma sessão.

Modelos de Machine Learning aplicados ao setor financeiro refinam continuamente a precisão da defesa, distinguindo variações naturais do comportamento legítimo (cliente em viagem, primeira operação para novo destinatário, contexto de uso diferente) de padrões estatisticamente improváveis que indicam fraude.

Compartilhamento de inteligência antifraude entre instituições

A defesa coletiva por meio de bases compartilhadas entre instituições participantes do Pix amplia a capacidade de identificar fraudes em escala e reagir antes que novos vetores se consolidem no ecossistema.

A camada se materializa em três frentes integradas: marcações de fraude transacional no DICT (Diretório de Identificadores de Contas Transacionais), que tornam contas suspeitas visíveis para todo o ecossistema; integração com o GE-Seg (Grupo Estratégico de Segurança), instituído pela Resolução BCB n.º 493/2025; e troca de inteligência sobre padrões emergentes de ataque por meio de plataformas antifraude colaborativas.

Uma vez identificada uma conta envolvida em fraude, todas as transações Pix com aquele usuário podem ser rejeitadas de forma compulsória, conforme exige a Resolução BCB n.º 501/2025, ampliando a defesa do ecossistema inteiro.

Step-up authentication seletiva: rigor onde o risco efetivamente aparece

Autenticação adicional é acionada apenas em operações classificadas como de risco elevado pela análise contextual, preservando a fluidez das jornadas legítimas.

Quando o motor de decisão classifica a operação como sensível, a defesa aciona camadas adicionais escolhidas conforme o contexto: biometria facial com prova de vida certificada pela norma ISO/IEC 30107-3 para validação de identidade, biometria vocal para confirmação em canais conversacionais, confirmação por canal alternativo (notificação push, SMS, ligação automatizada) e autenticação multifator combinando dois ou mais fatores.

O critério de acionamento é parametrizável pela política de risco da instituição, com possibilidade de calibração por tipo de operação, valor, perfil de cliente e canal, sustentando rigor onde o contexto justifica e fluidez nas operações de baixo risco.

Monitoramento pós-liquidação e integração com MED 2.0

A defesa não termina após a liquidação: o monitoramento contínuo do destino dos recursos sustenta a capacidade de bloqueio, rastreamento e devolução em casos de fraude confirmada.

A camada integra-se nativamente ao MED 2.0 instituído pela Resolução BCB nº 493/2025, com rastreamento automatizado em até cinco camadas subsequentes de contas, bloqueio cautelar em todo o percurso do dinheiro fraudado e devolução em até 11 dias após contestação.

O monitoramento alimenta continuamente os modelos de Machine Learning da própria instituição com sinais reais de fraude confirmada, refinando a calibração para os próximos eventos e fechando o ciclo de aprendizado da defesa.

A capacidade de rastreamento em cadeia é o que diferencia uma defesa preparada para o novo arcabouço regulatório de uma operação que apenas reagia a incidentes consumados.

Defesa em profundidade: a integração das cinco camadas como diferencial competitivo

A força dessas tecnologias não está em sua adoção isolada, mas na operação orquestrada que correlaciona sinais das cinco camadas em um único motor de decisão.

Instituições com defesa em profundidade reduzem perdas com fraudes, neutralizam vetores que combinam IA generativa, malwares e engenharia social em escala, atendem nativamente às novas exigências do Banco Central e preservam a experiência do cliente legítimo como ativo estratégico.

A maturidade antifraude torna-se diferencial competitivo no mercado de pagamentos instantâneos, com impacto direto na confiança institucional, na retenção de clientes ativos e na posição da instituição perante parceiros e investidores.

Como o SecureJourney sustenta a segurança no Pix de acordo com as exigências do Banco Central

A Topaz, maior empresa de tecnologia especializada em soluções financeiras digitais da América Latina, entrega a defesa antifraude do Pix por meio da suíte modular SecureJourney, adotada por mais de 90% do mercado financeiro brasileiro e desenhada para integração com as demais famílias da plataforma Topaz One.

A arquitetura combina Inteligência Artificial, Machine Learning, biometria avançada e análise comportamental em tempo real, com integração nativa à família TechPay para monitoramento de pagamentos em tempo real, e configuração modular que atende às novas exigências regulatórias do Banco Central conforme o perfil de cada instituição.

Gestor de decisões: a engine que orquestra a defesa do Pix em milissegundos

O Gestor de decisões consolida sinais de múltiplas camadas (biometria comportamental, biometria avançada, análise contextual da transação, inteligência coletiva do ecossistema) e decide em milissegundos o caminho de cada operação Pix.

A engine opera com política de risco parametrizável por tipo de operação, valor, perfil de cliente e canal, sustentando defesa adaptativa que cresce em rigor para transações sensíveis e libera com fluidez as operações de baixo risco.

Em pontos críticos como Pix de valor elevado, alteração cadastral ou contratação de produtos, a engine aciona step-up authentication com camadas adicionais (biometria facial com prova de vida, biometria vocal, confirmação por canal alternativo).

A capacidade de orquestração é o que sustenta uma defesa moderna preparada para o novo arcabouço regulatório, em vez de uma operação reativa baseada em regras estáticas.

Onboarding seguro: bloqueio de identidades falsas antes da entrada na jornada

O Onboarding seguro valida a identidade do cliente antes do vínculo ser estabelecido, impedindo que identidades fraudulentas se tornem origem de transações Pix maliciosas.

A entrada na jornada combina biometria facial com prova de vida sustentada pelo selo iBeta e conformidade com a norma ISO/IEC 30107-3, biometria documental via OCR e análise de elementos de segurança, cruzamento automatizado com bases oficiais e bureaus de crédito e detecção comportamental de padrões mecânicos típicos de bots ou automação.

A arquitetura impede que identidades falsas, sintéticas ou comprometidas entrem na operação, neutralizando uma das principais portas de entrada para fraudes que se manifestam mais tarde via Pix.

Prevenção e combate à fraude: defesa contínua ao longo de toda a jornada Pix

A Prevenção e combate à fraude sustenta a defesa biométrica e comportamental depois da autenticação inicial, com monitoramento contínuo do comportamento e da intenção transacional ao longo de toda a sessão.

A oferta opera em quatro frentes complementares ao tema Pix:

  • identificação de riscos com análise de vulnerabilidades em cada etapa da jornada de pagamento;
  • implementação de controles biométricos e comportamentais durante a operação;
  • monitoramento contínuo de transações e padrões de uso para detectar anomalias em tempo real;
  • investigação e resposta com apuração de incidentes e ajuste dinâmico da política de risco.

Em cenários típicos do Pix como engenharia social em tempo real, account takeover pós-login, controle remoto por RAT (Remote Access Trojan) ou QR Code adulterado, a camada identifica sinais comportamentais e contextuais incompatíveis com o cliente legítimo e aciona bloqueio preventivo antes que a transferência seja autorizada.

Integração com TechPay e MED 2.0: defesa antifraude end-to-end no Pix

A arquitetura modular da SecureJourney conecta-se nativamente à família TechPay para monitorar pagamentos em tempo real, sustentando defesa antifraude end-to-end da iniciação à liquidação no Pix.

A integração entre as famílias permite que a inteligência antifraude opere em cada etapa do ciclo da transação, com análise contextual no momento da iniciação, validação biométrica e comportamental durante a autorização, e monitoramento contínuo após a liquidação.

A arquitetura sustenta o cumprimento das novas exigências do Banco Central, incluindo o MED 2.0 com rastreamento em cadeia, marcação de fraude transacional no DICT, rejeição compulsória de operações para contas suspeitas e integração com o GE-Seg instituído pela Resolução BCB n.º 493/2025.

Plataforma integrada como diferencial competitivo

A integração entre SecureJourney, TechPay, FinancialCore, FinChannels e FinXperience consolida uma arquitetura completa para quem opera Pix com segurança e escala.

A defesa antifraude orquestrada com estratégias de cibersegurança que reduzem o atrito na experiência do cliente é o que diferencia instituições preparadas para o novo arcabouço regulatório das que vão enfrentar penalidades, perda de credibilidade e queda de competitividade. A maturidade antifraude torna-se ativo estratégico no mercado de pagamentos instantâneos.

Fortaleça a segurança no Pix com a defesa antifraude da SecureJourney

A segurança no Pix em 2026 deixou de ser tema operacional para se tornar pauta estratégica de governança.

As novas exigências regulatórias do Banco Central, a sofisticação dos vetores de ataque que combinam IA generativa, malwares e engenharia social, e o impacto financeiro de penalidades que podem chegar a R$ 500 milhões transformaram a maturidade antifraude em diferencial competitivo no mercado de pagamentos instantâneos.

A Topaz entrega a defesa antifraude integrada da iniciação à liquidação por meio da suíte modular SecureJourney, com Inteligência Artificial, Machine Learning, biometria avançada e análise comportamental em tempo real, e integração nativa à família TechPay para monitoramento de pagamentos em tempo real. A credibilidade da solução é sustentada por três pilares:

  • adoção por mais de 90% do mercado financeiro brasileiro, com presença em 25 países e atuação consolidada em bancos tradicionais, digitais, cooperativas e instituições de pagamento;
  • certificação iBeta em autenticação facial, com conformidade comprovada à norma ISO/IEC 30107-3 contra ataques de spoofing;
  • ecossistema Grupo Stefanini, que respalda a primeira plataforma full banking do mundo, reconhecida por Gartner, Celent e ISG Provider Lens.

Instituições preparadas para o novo arcabouço regulatório não apenas evitam penalidades: capturam o crescimento que vem com a maturidade da segurança digital, fortalecem a confiança institucional e protegem a receita das jornadas legítimas que sustentam a relação com clientes ativos.

Fale com nossos especialistas e descubra como o SecureJourney pode estruturar a operação antifraude da sua instituição para o novo cenário do Pix, com conformidade regulatória nativa, defesa end-to-end e proteção que opera sem comprometer a experiência do cliente.

Perguntas frequentes sobre segurança no Pix

Quando entram em vigor as novas regras do Pix?

As principais resoluções entraram em vigor em 2 de fevereiro de 2026. Algumas medidas operacionais têm implementação escalonada ao longo do ano, com cronograma definido pelo Banco Central.

O que muda no MED 2.0 em relação ao anterior?

O MED 2.0 amplia o rastreamento do recurso mesmo após movimentações posteriores na rede. As instituições devem bloquear valores suspeitos por até 11 dias e a vítima pode solicitar devolução diretamente pelo app, sem contato humano.

As multas por descumprimento são aplicadas a todas as instituições?

Sim. A Resolução BCB n.º 506/2025 instituiu multas diárias de R$ 10 mil (valor-base), ajustadas pelo porte da instituição. Em casos graves, a suspensão cautelar de participantes é prevista.

A análise antifraude do Pix gera fricção para o cliente?

Não, quando bem calibrada. A análise em tempo real ocorre em segundo plano, com fricção apenas em operações classificadas como de risco elevado. Mais de 99% das transações legítimas seguem sem interrupção.

Como bloquear deepfake de voz em fraudes do Pix?

A combinação entre biometria comportamental contínua, análise contextual e step-up authentication com biometria vocal antispoofing neutraliza tentativas com áudio sintético. A defesa em camadas é a estratégia mais eficaz.

Como o cliente pode contribuir para a segurança?

Manter o dispositivo atualizado, não compartilhar credenciais, desconfiar de mensagens urgentes, verificar a identidade do interlocutor por canal alternativo e habilitar todas as camadas de autenticação disponíveis. A comunicação clara da instituição com o cliente reforça essas boas práticas.

 

Topaz

Uma das maiores empresas de tecnologia especializada em soluções financeiras digitais da América Latina, parte do Grupo Stefanini, com a 1ª plataforma full banking do mundo.

Vamos nos conectar para impulsionar a evolução do seu negócio.

Nosso ecossistema de soluções digitais se adapta aos seus objetivos e necessidades:

  • Modernização contínua com uma arquitetura flexível e escalável.
  • Lançamento ágil de produtos com time-to-market acelerado.
  • Segurança e robustez para operar 24/7.
  • Experiências customer centric.