O caso da fintech Voluti, que teve sua autorização negada pelo Banco Central após sofrer um ataque hacker e falhas de governança, tornou-se um divisor de águas para o setor. O episódio reforça a importância das novas normas do Banco Central, que ampliam exigências de segurança, controle e autorização para instituições de pagamento (IPs) e seus prestadores de tecnologia (PSTIs). A mensagem é clara: o sistema financeiro não tolerará mais improviso operacional.
O caso Voluti e o alerta para o mercado
A fintech Voluti, que operava com serviços de pagamento digital, teve seu processo de autorização negado pelo Banco Central em 2025 após sofrer um ataque cibernético que comprometeu dados de clientes e operações. Além do incidente, o regulador apontou fragilidades nos controles internos, na segregação de recursos e na governança de risco.
O caso expôs um problema estrutural: o rápido crescimento de empresas de pagamento que tratam o compliance e a segurança como uma formalidade — e não como parte essencial do modelo de negócio. A partir desse episódio, o Banco Central decidiu endurecer a regulação do setor.
O que mudou nas novas normas do Banco Central
As novas regras visam impedir que situações como a da Voluti se repitam. Entre as principais medidas estão:
- Proibição de operação sem autorização prévia: Nenhuma instituição de pagamento poderá iniciar suas atividades sem o aval formal do Banco Central.
- Limite de R$ 15 mil por operação de TED e Pix para IPs não autorizadas ou conectadas via Prestadores de Serviços de Tecnologia da Informação (PSTIs).
- Controles adicionais obrigatórios: políticas de segurança cibernética, continuidade de negócios, segregação de recursos, auditorias e relatórios periódicos.
- Critérios mais rigorosos para credenciamento dos PSTIs: empresas de tecnologia que conectam IPs à Rede do Sistema Financeiro Nacional agora precisarão comprovar conformidade técnica e regulatória.
Essas medidas fortalecem a governança e reduzem o risco de incidentes que possam afetar clientes e o sistema financeiro.
O paralelo com a Voluti
O caso Voluti evidencia o motivo das novas regras. Quando uma fintech é atingida por um ataque hacker e não possui mecanismos adequados de resposta, o problema não é apenas técnico — é sistêmico. Dados sensíveis são expostos, operações ficam paralisadas e a confiança do consumidor é abalada.
O Banco Central avaliou que a empresa não tinha controles internos suficientes para garantir a continuidade segura das operações, motivo pelo qual indeferiu seu pedido de autorização. Essa decisão ilustra o novo padrão de exigência: somente instituições sólidas e seguras poderão operar.
Em outras palavras: o caso Voluti é o exemplo do que as novas normas pretendem evitar — fintechs operando sem estrutura adequada de segurança e governança.
Efeitos para o ecossistema de pagamentos
As novas regras e o precedente da Voluti produzem um efeito dominó em todo o arranjo de pagamentos:
- Instituições não autorizadas passam a ter limitação de R$ 15 mil por transação;
- PSTIs precisam provar sua capacidade técnica, de segurança e conformidade para manter contratos;
- Gateways e subadquirentes terão de revisar integrações e cláusulas contratuais com parceiros regulados;
- Fintechs em fase inicial precisarão investir mais em compliance e infraestrutura antes de iniciar operações.
O custo de operação aumentará, mas também aumentará a confiança sistêmica — algo essencial após incidentes como o da Voluti.
Margens pressionadas, maturidade em alta
As novas exigências significam maiores custos fixos e menor flexibilidade operacional. O modelo “rápido e enxuto” de muitas fintechs precisará dar lugar a operações mais robustas, auditáveis e capitalizadas.
Por outro lado, o mercado se tornará mais seguro e previsível. Empresas que tratam a conformidade como diferencial — e não como obrigação — sairão fortalecidas.
Compliance e cibersegurança deixaram de ser custo. Passaram a ser pré-requisito de sobrevivência.
Como se preparar
- Solicitar autorização formal antes de qualquer operação;
- Garantir segregação total de contas e trilhas de auditoria;
- Reforçar políticas de segurança e planos de contingência;
- Revisar contratos com PSTIs e provedores de infraestrutura;
- Automatizar processos de conciliação, monitoramento e compliance.
O aprendizado do caso Voluti é simples: a confiança é o maior ativo do setor financeiro. E ela só existe quando há transparência, controle e segurança real.
Conclusão
O Banco Central elevou o padrão do mercado de pagamentos — e fez isso com base em fatos concretos. A lição da Voluti serve como alerta a todo o ecossistema: operar no setor financeiro exige a mesma disciplina de um banco, independentemente do tamanho.
Quem enxergar o novo cenário não como uma barreira, mas como oportunidade de profissionalização, vai prosperar em um mercado cada vez mais regulado e competitivo.
Precisa de apoio para se adequar às novas normas do Banco Central?
A Payments Watcher ajuda instituições de pagamento, gateways e subadquirentes a implementar controles de risco, automação de compliance e governança de liquidez alinhados ao novo cenário regulatório.
