O que é o MED 2.0 e como ele funciona na prática?

O Mecanismo Especial de Devolução (MED) 2.0 é a evolução do sistema de ressarcimento do PIX. Diferente da versão anterior que só bloqueava o dinheiro na primeira conta recebedora, o MED 2.0 rastreia os fundos automaticamente em até cinco camadas de transferências. Se o golpista fatiar e enviar o dinheiro para cinco bancos diferentes, todos os bancos são acionados via API simultaneamente para bloquear o saldo.

Quais são os limites para transações em celulares novos?

A Resolução BCB 403 estabelece que dispositivos (celulares ou computadores) nunca antes útilizados pelo cliente terão um limite de R$ 200 por transação, com um teto máximo de R$ 1.000 por dia. Para remover essa trava, o usuário precisará passar por um processo de autenticação forte estabelecido pelo seu banco, como biometria facial.

As fintechs terão que pagar pelas fraudes no PIX?

Sim. A nova regulação aperta o cerco da responsabilização solidária. Se uma fintech ou banco falhar em seus procedimentos de segurança (KYC/AML), permitindo a abertura de contas laranjas que recebem dinheiro de golpes, essa instituição será co-responsável pelo ressarcimento da vítima, arcando com o prejuízo diretamente do seu caixa.

O que acontece com contas inativas sob a nova regra?

Manter contas inativas torna-se um passivo regulatório alto. Como os bancos são penalizados por receberem fundos fraudulentos, a maioria das instituições passará a bloquear ou encerrar preventivamente contas sem movimentação financeira, exigindo recadastramento (prova de vida) caso o cliente queira voltar a útilizá-las.

Resolução BCB nº 403: o guia definitivo sobre as novas regras do PIX em 2025

O PIX processou mais de R$ 17 trilhões em 2023. É um número que desafia a gravidade e coloca o Brasil como vanguarda global em pagamentos instantâneos, superando o UPI indiano em volume per capita. Mas nós da Ouro Capital acompanhamos o mercado de perto e sabemos a verdade incômoda das tesourarias: o custo da fraude acompanhou esse crescimento exponencial. O Banco Central cansou de emitir alertas amigáveis. A Resolução BCB nº 403 pousou na mesa dos CEOs de bancos e fintechs com a delicadeza de um trator, reescrevendo as regras do jogo para 2025.

Se você opera um PSP (Provedor de Serviços de Pagamento), de um gigante como o Nubank até uma SCD recém-autorizada, preste atenção aqui. O tempo da aquisição de clientes a qualquer custo acabou. O regulador agora exige que a segurança seja o produto principal, não um puxadinho de compliance. Vamos destrinchar o que muda na prática, no código e no caixa das instituições.

O fim da miopia transacional e o nascimento do MED 2.0

O Mecanismo Especial de Devolução (MED) original tinha um defeito crônico de design. Ele operava sob a premissa de que o dinheiro fraudado ficaria parado na conta do primeiro recebedor (o famoso 'laranja de primeira camada'). Na prática, quadrilhas especializadas pulverizam os fundos em três ou quatro contas diferentes em menos de 15 segundos após o golpe. O MED 1.0 batia na primeira porta, encontrava o saldo zerado e encerrava o processo.

A Resolução 403 instaura o MED 2.0 — e isso muda o jogo. A partir de 2025, a infraestrutura do SPI (Sistema de Pagamentos Instantâneos) e do DICT (Diretório de Identificadores de Contas Transacionais) exigirá o rastreio automático de até cinco camadas de transferências.

Funciona assim: o cliente do Itaú sofre um golpe e transfere R$ 5.000 para uma conta no Mercado Pago. O golpista imediatamente fatia esse valor: manda R$ 2.000 para uma conta na Stone, R$ 2.000 para o PicPay e R$ 1.000 para a Cora. Sob a nova regra, o acionamento do MED pelo Itaú dispara uma notificação em cadeia via API. O Mercado Pago, a Stone, o PicPay e a Cora são obrigados a bloquear os fundos simultaneamente, em tempo real, independentemente de onde o dinheiro parou.

Isso exige uma reformulação brutal na arquitetura de mensageria dos bancos. A latência permitida para o bloqueio em cascata é mínima. Instituições que usam core bancário legado ou motores de prevenção a fraude (FDS) baseados em processamento em lote (batch) vão sofrer sanções pesadas. O BACEN estipulou multas que podem corroer até 5% do faturamento da linha de pagamentos da instituição infratora.

Dispositivos não reconhecidos: a trava de R$ 200

Conversamos com fontes no BACEN e a mensagem foi uníssona: o roubo de celulares desbloqueados nas grandes capitais virou uma epidemia de segurança pública que o Banco Central foi forçado a mitigar. A solução técnica imposta pela Resolução 403 ataca diretamente a liquidez do crime.

Qualquer dispositivo móvel ou computador que nunca tenha realizado uma transação PIX naquela conta específica sofrerá um downgrade automático de limites. Até que o cliente passe por um processo de autenticação forte (biometria facial cruzada com base governamental ou tokenização via Open Finance), o limite diário fica cravado em R$ 1.000, com teto de R$ 200 por transação.

Na prática, se um criminoso roubar a senha do banco de um usuário e tentar logar em um iPhone novo comprado na biqueira, ele só conseguirá extrair R$ 200 por vez, até o teto de R$ 1.000.

O impacto na experiência do usuário (UX) será severo. Pense no cliente legítimo que troca de smartphone na Black Friday. Ele tenta pagar a geladeira nova via PIX no mesmo dia e a transação é negada. O time de atendimento ao cliente (CX) das fintechs precisa se preparar para uma avalanche de chamados de 'PIX recusado'. A fricção aumentou por decreto governamental. Instituições como Inter e C6 Bank já começaram a desenhar fluxos de onboarding secundário específicos para troca de aparelho, tentando suavizar o tombo no NPS (Net Promoter Score).

A responsabilização solidária e o caixa das fintechs

Aqui tocamos no nervo exposto da Resolução 403. Até 2024, a responsabilidade por ressarcir um cliente vítima de fraude era uma zona cinzenta jurídica, geralmente resolvida nos juizados especiais cíveis. O BACEN agora formaliza a responsabilização solidária do PSP recebedor.

Se a sua fintech abrir uma conta para um laranja, falhar nos controles de PLD/CFT (Prevenção à Lavagem de Dinheiro e Combaté ao Financiamento do Terrorismo) e receber dinheiro de fraude via PIX, sua instituição será co-responsável pelo ressarcimento. O regulador cruzou os dados e percebeu que 70% das contas laranjas operavam em IPs e geolocalizações flagrantemente suspeitas, ignoradas por fintechs focadas apenas em inflar a base de usuários para a próxima rodada de venture capital.

O custo de compliance vai disparar. Estimamos que as instituições de pagamento Tier 2 e Tier 3 precisarão aumentar o orçamento de segurança da informação em até 40% em 2025. Ferramentas de device fingerprinting, análise comportamental de biometria e checagem contínua de background (KYC perpétuo) deixam de ser diferenciais de marketing e viram licença para operar.

Grandes adquirentes como PagSeguro e Stone, que operam volumes massivos de contas de varejistas (MEIs), já estão expurgando clientes inativos ou com comportamento anômalo. Manter uma conta inativa aberta agora é um passivo regulatório gigantesco. Se essa conta for sequestrada por golpistas, a multa do BACEN mais o custo do ressarcimento via MED 2.0 superam fácilmente qualquer LTV (Lifetime Value) que aquele cliente pudesse gerar.

Marcação de fraude no DICT: o Serasa dos golpistas

A infraestrutura do DICT ganha uma nova camada de inteligência e obrigatoriedade. A Resolução 403 exige que as instituições reportem marcadores de fraude diretamente no diretório do BACEN em até 15 minutos após a confirmação do ilícito.

Anteriormente, o banco A demorava dias para avisar o mercado que o CPF de João da Silva estava operando fraudes. Agora, o CPF, a chave PIX, o número da conta e até o IMEI do aparelho são 'queimados' em todo o Sistema Financeiro Nacional quase instantaneamente.

Nós observamos que essa base de dados federada criará um efeito de rede defensivo. Quando o Nubank consultar a chave PIX de destino antes de autorizar a transferência de um cliente, ele verá a flag de fraude inserida pelo Bradesco minutos antes. A transação cai na malha fina ou é bloqueada na origem.

O desafio técnico para os CTOs é integrar essas chamadas ao DICT no fluxo crítico de autorização sem estourar o SLA de 10 segundos do PIX. É um teste de fogo para a infraestrutura de nuvem dos bancos brasileiros.

Open Finance e Pix Automático: a fundação regulatória

Não podemos analisar a Resolução 403 num vácuo. Ela é a base de fundação para o lançamento definitivo do Pix Automático e para a integração profunda com o Open Finance em 2025.

O Pix Automático vai matar o débito em conta tradicional e canibalizar boa parte das transações recorrentes no cartão de crédito. Academias como SmartFit, empresas de telefonia como Claro e Vivo, e concessionárias de energia (Enel, Sabesp) já estão ajustando seus CRMs para a nova modalidade.

Porém, permitir que terceiros debitem automaticamente a conta do usuário exige uma camada de segurança paranoica. As regras de limite por dispositivo e o MED 2.0 foram antecipados exatamente para evitar que o Pix Automático se torne o maior vetor de fraudes da história financeira do país.

A autorização de mandatos do Pix Automático dependerá estritamente de dispositivos reconhecidos e validados. Se o usuário tentar configurar um pagamento recorrente de R$ 500 por mês num celular recém-comprado, a Resolução 403 barrará a operação até que a prova de vida seja concluída.

O que os CEOs e Diretores de Risco precisam fazer agora

O prazo de adequação não permite atrasos. O BACEN já demonstrou que não tem paciência para cronogramas estourados (basta lembrar das punições no rollout do Open Finance). Se você está na cadeira de decisão de um PSP, o plano de ação é claro:

Auditoria de Contas Inativas: Rode uma varredura na sua base. Contas com saldo zero e sem transações há mais de 180 dias devem ser submetidas a um recadastramento forçado. Não carregue esse risco.
Upgrade do Motor de Fraude: Se o seu sistema antifraude não consegue ingerir dados do DICT e processar o bloqueio em cascata do MED 2.0 em tempo real, você está obsoleto. Troque de vendor ou reescreva o serviço.
Friction by Design: Redesenhe a UX do seu aplicativo. A fricção para novos dispositivos é obrigatória. Crie fluxos educativos para o cliente entender que a burocracia do reconhecimento facial protege o dinheiro dele, não apenas o banco.

O ecossistema financeiro brasileiro atingiu a maturidade. A Resolução 403 prova que a fase do 'move fast and break things' no PIX encerrou. Agora, quem não souber blindar sua infraestrutura será engolido pelos custos de fraude ou expulso do SPI por canetada do regulador. A segurança deixou de ser custo; em 2025, ela é a única métrica de sobrevivência.