A sigla PSTI ficou conhecida do grande público após incidentes de cibersegurança que resultaram em desvios de mais de R$ 1 bilhão de fintechs nos últimos meses. Essas empresas, que funcionam como pontes tecnológicas entre as startups e o Banco Central, tornaram-se o elo vulnerável do sistema financeiro brasileiro.
Passados pouco mais de 45 dias das exigências de segurança impostas pelo regulador, apenas duas Prestadoras de Serviço de Tecnologia e Informação conseguiram se adequar integralmente às novas exigências: a Tivit e a Topaz, do grupo Stefanini.
As demais prestadoras desse serviço estão correndo contra o tempo para implementar as mudanças exigidas pelo BC por meio de duas resoluções (497 e 498) e duas Instruções Normativas (666 e 667). Enquanto isso, centenas de fintechs que utilizam essas PSTIs ficaram limitadas a transferências de até R$ 15 mil por transação.
A restrição pegou de surpresa diversos setores do mercado financeiro. Áreas de pagamento e recebimento de dívidas corporativas que utilizavam essas fintechs, por exemplo, precisaram realizar dezenas ou mesmo centenas de transações separadas, dependendo dos montantes envolvidos.
Esse mercado, que já era pequeno, após a crise da C&M Software e da Sinqia - que conectavam fintechs ao sistema Pix - ficou ainda mais concentrado. E as duas homologadas pelo BC, que podem operar sem restrições impostas, querem aproveitar a vantagem competitiva para ganhar participação de seus concorrentes.
“Tivemos a sorte de ser o último PSTI homologado pelo Banco Central, que já tinha estabelecido uma nova cartilha de segurança para os provedores de serviços. Os outros receberam a autorização anteriormente. Então, estavam em processo de adaptação”, diz Jorge Iglesias, CEO da Topaz, ao NeoFeed.
Em nota enviada ao NeoFeed, a Tivit também confirmou que já está em conformidade com todas as normas estabelecidas pelo Banco Central e que vê as novas regras como um "marco" para o setor.
O que mudou e quem fica para trás
Das oito PSTIs autorizadas hoje pelo Banco Central, seis ainda precisam se adequar completamente às novas exigências. As determinações vão desde a necessidade de capital mínimo de R$ 15 milhões e contratação de seguro até o aperfeiçoamento dos controles de segurança, como mecanismos de autenticação, rastreabilidade das transações e gestão de certificados digitais.
Para Larissa Arruy, advogada do Mattos Filho, os maiores desafios estão ligados à implementação de novas tecnologias, que podem ser caras e à exigência do capital mínimo.
"Tudo isso entra na avaliação que cada um dos players vai ter que fazer individualmente. Como resultado disso, algum deles vai acabar determinando que o mercado deixou de ser atrativo ou que não tem as condições para continuar operando", diz Arruy.
A Associação Brasileira de Bancos (ABBC) é uma das PSTIs que precisa passar por alguns ajustes para estar de acordo com as novas exigências. Euricion Murari, diretor de inovação e serviços da ABBC, afirma que a empresa já está trabalhando para entrar em conformidade com as novas regras e que apenas pequenos ajustes serão necessários.
"Estamos muito bem endereçados. Praticamente já atendemos todos os requisitos, tirando os novos que surgiram — como eventuais auditorias e seguros. Há alguns pontos que são aditivos ao credenciamento que existia no passado, mas estamos muito bem encaminhados e conseguiremos cumprir os prazos normativos", afirma Murari.
Embora reconheça que o sistema exige adaptações e investimentos, Murari acredita que as novas exigências regulatórias são positivas para atenuar os riscos envolvidos na operação.
"É um passo na direção correta, uma resposta diante dos ataques recentes que o sistema sofreu. O importante, agora, é estar em conformidade o mais rápido possível, pensando na segurança do sistema como um todo", diz Murari.
As PSTIs têm até segunda-feira, 20 de outubro, para apresentar ao Banco Central as comprovações de implementação das medidas relacionadas à segurança da informação e a política de prevenção de fraudes previstas na nova regulamentação.
Questionado pelo NeoFeed sobre o andamento da adaptação das PSTIs e se há atrasos na implementação das novas regras, o Banco Central respondeu apenas que "está ocorrendo dentro do esperado".
Fintechs buscam saídas
O executivo da ABBC admite a possibilidade de as fintechs que mais utilizam os sistemas das PSTIs passem a montar suas próprias estruturas, diante dos ataques envolvendo essa ponta da cadeia. "É aquela história: se você é assaltado e lhe roubam o celular, você não tira mais o celular do bolso", compara o executivo.
Isso foi o que fez a fintech iugu, de automação e gestão de pagamentos recorrentes, depois que o BC impôs as limitações às PSTIs. A companhia utilizava os sistemas de uma PSTI para fazer pagamentos com Pix, mas decidiu montar sua própria estrutura de conexão direta com o Banco Central.
"Como nós já tínhamos ligação direta com o Banco Central para transferências por TED, foi mais fácil e barato nos conectarmos também para transferência via Pix", diz Renato Ribeiro, CEO da iugu.
Se parte da infraestrutura e processos não estivesse pronta, montá-la do zero custaria em torno de R$ 5 milhões, estima o executivo. No modelo de PSTI, as empresas pagam por transação, o que pode desencorajar fintechs pequenas a montarem suas próprias estruturas.
Cecilia Mello, advogada especializada em regulação financeira, recorda que o sistema de PSTIs foi criado para viabilizar estruturas mais baratas para fintechs, permitindo que novas empresas se conectassem ao Banco Central sem precisar montar, do zero, uma infraestrutura tecnológica própria.
Com o tempo, porém, ela diz que o propósito inicial se perdeu, já que muitas dessas instituições passaram a manter o uso das PSTIs mesmo depois de atingirem volumes expressivos de transações.
"Acabou se tornando o padrão para muitas fintechs, o que não deveria ser. O PSTI era para atender pequenas fintechs. Não era para ser endereçado a grandes, a volumes muito grandes", diz Mello.
Iglesias, da Topaz, espera por uma aceleração do número de fintechs em busca de migrar do modelo de PSTI para ligação direta. "É uma discussão que existe. Muitas usam por ser mais barato terceirizar. Mas chegamos a patamares e volumes enormes, muito pelo sucesso do Pix, o que criou uma distorção."
O executivo, porém, não considera isso um risco para seu negócio, mas uma vantagem adicional. A Topaz também oferece serviços de ligação direta entre as instituições e o Banco Central.
"Existe esse tipo de discussão com clientes, já que muitas fraudes passaram pelas PSTIs. É um serviço mais caro, mas garante a imagem do cliente. O caro e barato é sempre relativo."
