Entre 1º e 31 de maio de 2026 abriu-se uma janela única e improrrogável: instituições de pagamento (IPs) que operavam sem licença formal precisam protocolar pedido de autorização no Banco Central do Brasil (BCB) ou cessar atividades. As Resoluções BCB 494, 495, 496 e 497, publicadas em 5 de setembro de 2025, não são um ajuste incremental de compliance — são o gatilho que converte estrutura de KYC, PLD/FT e antifraude de boa prática em condição de existência. Para o comprador de dados em fintech, esse calendário regulatório é a maior expansão de demanda por verificação cadastral, KYB e dados societários da década.

O que mudou em setembro de 2025

O Banco Central editou o pacote 494-498 explicitamente "à luz do envolvimento do crime organizado nos recentes eventos de ataques a instituições financeiras e de pagamentos", segundo a Agência Gov. O contexto é direto: o crescimento do Pix e o modelo de conexão indireta ao Sistema Financeiro Nacional (SFN) criaram uma porta de entrada para lavagem de dinheiro e fraude que a regulação anterior tolerava por limiar de volume.

Até então, uma IP só era obrigada a pedir autorização ao ultrapassar determinado patamar de transações ou de moeda eletrônica em circulação. Centenas de empresas operavam abaixo desse limiar — ou se conectavam ao SFN por meio de um Prestador de Serviços de Tecnologia da Informação (PSTI), terceirizando a infraestrutura regulada. O pacote de 2025 fecha essa brecha de forma definitiva.

"A Resolução BCB 494 deixa claro que toda IP precisa solicitar autorização ao Bacen antes de iniciar operações, incluindo todas as modalidades de pagamento que pretende oferecer." — NDM Advogados, análise das Resoluções 494-497 (2025)

O que é uma instituição de pagamento — definição

Uma instituição de pagamento (IP) é a pessoa jurídica que viabiliza serviços de compra, venda e movimentação de recursos sem ser, necessariamente, banco. As modalidades incluem emissor de moeda eletrônica (carteiras digitais com saldo pré-pago), emissor de instrumento de pagamento pós-pago (cartão de crédito) e credenciador (a "maquininha" que habilita o lojista a aceitar cartões). Carteiras, subadquirentes, BaaS (Banking as a Service, banco como serviço) e a maior parte das fintechs de pagamento operam sob esse guarda-chuva — e é justamente esse universo que o calendário de 2026 alcança.

O gatilho datado: 1º a 31 de maio de 2026

O elemento que transforma essas resoluções em evento de mercado é a precisão do calendário. Não há gradualismo nem prorrogação prevista. Dois grupos têm de protocolar pedido de autorização na janela única:

  1. Emissores de moeda eletrônica que iniciaram atividades antes de 1º de março de 2021 e ainda não são autorizados pelo BCB.
  2. Emissores de instrumento de pagamento pós-pago e credenciadores que começaram a operar antes de 5 de setembro de 2025 e não possuem autorização formal.

O não cumprimento do prazo implica cessação compulsória das atividades, com 30 dias após a notificação para o encerramento ordenado das operações, conforme detalham a AML Reputacional e a Silva Lopes Advogados. Em paralelo, a Resolução BCB 496 obriga IPs não autorizadas a solicitar credenciamento para operar no Pix entre 1º de janeiro e 1º de maio de 2026 — independentemente do número de transações.

Resolução BCB (2025)ObjetoData-gatilho
494Janela única e improrrogável de pedido de autorização de IP1º a 31 de maio de 2026
495Endereço de sede efetivo e exclusivo (veda coworking/escritório virtual)Vigência a partir da autorização
496Credenciamento obrigatório para operar Pix, sem limiar de transações1º jan a 1º mai 2026
497Teto de R$ 15 mil por transação (Pix/TED) para não autorizadas e usuárias de PSTIVigente desde set/2025
498Credenciamento de PSTI: PL mínimo de R$ 15 mi + seguro cibernético obrigatórioAdequação até jan/2026

O teto de R$ 15 mil e a economia da não conformidade

A Resolução BCB 497 é a alavanca de coação imediata. Instituições de pagamento não autorizadas — e aquelas que se conectam ao SFN via PSTI — passaram a ter limite de R$ 15.000 por transação em Pix e TED (Transferência Eletrônica Disponível), conforme reportaram CNN Brasil e InfoMoney. O recado é econômico: operar sem licença deixa de ser viável para qualquer fluxo corporativo relevante.

Há uma válvula de escape transitória — participantes que atestarem a adoção de controles de segurança da informação podem ser dispensados da limitação por até 90 dias. Mas a dispensa é justamente a porta de entrada da exigência de fundo: para escapar do teto, é preciso provar que o KYC, o monitoramento e a trilha antifraude já estão de pé. O teto não pune a empresa por ser pequena; pune-a por ser cega quanto a quem está do outro lado da conta.

Por que isto vira um projeto de KYC, PLD e antifraude

As cinco frentes de dados que o dossiê de autorização exige

  1. 1
    Validação cadastral

    Identificação de clientes PF e PJ no onboarding, com checagem contra fontes oficiais.

  2. 2
    KYB e beneficiário final

    Validação de CNPJ, situação na Receita, quadro societário e identificação do UBO.

  3. 3
    Triagem PEP e sanções

    Verificação contínua contra listas de pessoa politicamente exposta e sanções nacionais e internacionais.

  4. 4
    Antifraude em tempo real

    Captura de identidade sintética, contas-laranja e mulas financeiras — o vetor que motivou a regra.

  5. 5
    Trilha de auditoria

    Registro de fonte, data e resultado de cada decisão de aceite ou recusa para o supervisor.

Silva Lopes Advogados e Circular BCB 3.978/2020

Obter autorização não é preencher um formulário. A análise do escritório Silva Lopes resume o que o BCB passa a exigir: revisão completa de processos internos, estrutura societária, políticas de governança e práticas de KYC (Know Your Customer, conheça seu cliente) e due diligence. A Resolução exige padronizar compliance, com estrutura de controles internos e políticas de PLD/FT (Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo) robustas — o arcabouço já consolidado pela Circular BCB 3.978/2020.

Na prática, o dossiê de autorização força a IP a demonstrar capacidade operacional em cinco frentes que dependem diretamente de dados:

  • Identificação e validação cadastral de clientes PF e PJ na abertura de conta (onboarding), com checagem contra fontes oficiais.
  • KYB (Know Your Business, conheça seu negócio): validação de CNPJ, situação cadastral na Receita, quadro societário e identificação do beneficiário final (UBO) — exigência expressa de PLD/FT.
  • Triagem contínua contra listas de PEP (pessoa politicamente exposta) e sanções, nacionais e internacionais.
  • Antifraude em tempo real, com captura de identidade sintética, contas-laranja e mulas financeiras — o vetor que motivou a regra.
  • Trilha de auditoria que permita reconstruir, perante o supervisor, cada decisão de aceite ou recusa.

A Resolução 495 reforça o ponto de forma quase simbólica: ao vedar sede em coworking ou escritório virtual e exigir endereço efetivo e exclusivo, o BCB sinaliza que a verificação de existência real — de empresas e de pessoas — passa a ser substância, não formalidade.

A camada PSTI e a Resolução 498

Quem terceiriza a conexão ao SFN não escapa. A Resolução BCB 498 cria o credenciamento obrigatório de PSTI, com patrimônio líquido mínimo de R$ 15 milhões comprovado por demonstrações auditadas e contratação de seguro de responsabilidade civil e riscos operacionais — incluindo fraude e incidentes de cibersegurança, segundo a Serasa Experian. Fintechs supervisionadas só poderão contratar PSTI credenciado e terão de monitorar a adequação do fornecedor. A cadeia inteira de terceirização entra na malha de diligência.

A dimensão do mercado afetado

Instituições de pagamento sob pressão regulatória

Ainda sem pedir autorizaç…75 IPsCom processo em análise40 IPs
Bankly, 2025

Banco Central, Finsiders e Serasa, 2025

O Brasil tem cerca de 2.000 fintechs ativas, o que representa 59% da América Latina, e o ecossistema captou US$ 2,77 bilhões em 2025 (fonte: Finsiders, 2025). A fatia de pagamentos é a mais intensiva em consumo de dados — em torno de 27% do ecossistema. O Pix processou 79,8 bilhões de transações e R$ 35,4 trilhões em 2025, equivalente a 54,7% das transações do país (fonte: Banco Central, 2025). É exatamente esse trilho que as resoluções querem blindar.

O próprio supervisor dimensiona a pressão: segundo levantamento citado pela Bankly, há 75 instituições de pagamento que ainda não fizeram o pedido de autorização e outras 40 empresas com processo em análise. Some-se o universo de carteiras e subadquirentes que operavam sob limiar e a base de demanda por verificação cadastral e KYB que entra em campo em 2026 é estrutural, não conjuntural.

Essa demanda colide com um problema de fundo do setor: a fraude. O Brasil registra mais de 1 milhão de tentativas de fraude por mês — uma a cada 2,2 segundos — e a identidade sintética cresceu 140% em 2025, com exposição de R$ 15,7 bilhões só no primeiro trimestre (fonte: Serasa, 2025). Nenhuma IP atravessa a janela de autorização exibindo controles antifraude frágeis. O calendário regulatório e a curva de fraude empurram na mesma direção.

O que isto significa para o comprador de dados

Para o head de risco, de fraude, de compliance ou de dados em fintech, a Res. 494-497 muda a natureza da decisão de compra de dados. Deixa de ser otimização de funil (aprovar mais, rejeitar menos) e passa a ser requisito de licença. Três deslocamentos práticos:

  1. Onboarding de PJ vira gargalo regulado. Validar CNPJ, situação cadastral, quadro societário e beneficiário final deixa de ser enriquecimento opcional e passa a compor o dossiê de PLD/FT que o BCB vai inspecionar. KYB com API flexível e latência baixa é capacidade de conformidade, não diferencial comercial.
  2. O custo de não capturar identidade sintética é a licença. Antifraude com fontes complementares de validação cadastral — que confirmam se o portador existe, se os dados batem com fontes oficiais e se há sinal de conta-laranja — sobe ao topo da prioridade.
  3. A trilha de auditoria precisa de proveniência. Cada consulta de dado tem de registrar fonte, data e resultado. O supervisor pergunta "como você decidiu?"; sem dado auditável com origem documentada, a resposta não existe.

É aqui que provedores de DaaS (Data as a Service, dados como serviço) e IDtechs entram como complemento aos bureaus tradicionais — Serasa, Boa Vista/Equifax, Quod. Para validação cadastral, KYB e dados societários, em que preço por consulta e flexibilidade de API decidem, o modelo pay-per-use (validação cadastral na faixa de R$ 0,05 a R$ 0,50) compõe a pilha de conformidade ao lado do score de bureau. A decisão de 2026 não é escolher um fornecedor único; é montar uma arquitetura de dados que sobreviva a uma inspeção do Banco Central.

O prazo de maio de 2026 não cria a necessidade de KYC, PLD e antifraude — ele apenas marca a data em que a ausência dessas capacidades passa a custar a autorização para operar. Para o comprador de dados, é o momento em que a infraestrutura de verificação cadastral deixa de ser linha de custo e vira condição de licença.

Próximo passo

Se a sua instituição se enquadra em qualquer dos grupos da Res. 494 — ou contrata PSTI sob a Res. 498 —, o roteiro mínimo é mapear quais consultas de dados sustentam o dossiê de autorização, verificar se cada uma registra fonte, data e resultado de forma auditável, e estressar a arquitetura contra o cenário de inspeção. A pergunta a responder antes de maio não é "quantos clientes aprovo?", mas "consigo provar ao Banco Central quem é cada um deles?".

Perguntas frequentes

O que são as Resoluções BCB 494 a 497 de 2025?

É um pacote do Banco Central publicado em 5 de setembro de 2025 que reformula o regime de autorização de instituições de pagamento. A 494 cria a janela única de pedido de autorização; a 495 exige sede efetiva e exclusiva; a 496 obriga credenciamento para operar Pix sem limiar de transações; e a 497 impõe teto de R$ 15 mil por transação a instituições não autorizadas e a usuárias de PSTI.

Qual é o prazo para pedir autorização ao Banco Central?

A janela única e improrrogável vai de 1º a 31 de maio de 2026 para emissores de moeda eletrônica que começaram antes de 1º de março de 2021 e para emissores de pós-pago e credenciadores que iniciaram antes de 5 de setembro de 2025, ambos ainda sem autorização. O credenciamento para operar Pix corre de 1º de janeiro a 1º de maio de 2026.

O que acontece com quem não pedir autorização no prazo?

A instituição fica sujeita à cessação compulsória das atividades, com 30 dias após a notificação para encerramento ordenado das operações. Antes mesmo disso, o teto de R$ 15 mil por transação em Pix e TED, vigente desde setembro de 2025, já inviabiliza fluxos corporativos relevantes para quem opera sem licença.

Por que a autorização exige estruturar KYC, PLD e antifraude?

O dossiê de autorização força a IP a demonstrar processos de identificação e validação cadastral, KYB com identificação de beneficiário final, triagem de PEP e sanções, antifraude em tempo real e trilha de auditoria. Sem essas capacidades, a instituição não consegue sustentar a política de PLD/FT que o Banco Central inspeciona.

Quantas instituições são afetadas pela regra?

Segundo levantamento citado por análises de mercado, cerca de 75 instituições de pagamento ainda não fizeram o pedido de autorização e outras 40 aguardam em análise. Somado ao universo de carteiras e subadquirentes que operavam abaixo do limiar anterior, o calendário de 2026 alcança centenas de empresas em um mercado de cerca de 2.000 fintechs ativas no Brasil.

Onde os provedores de dados entram nesse processo?

Provedores de DaaS e IDtechs atuam como complemento aos bureaus tradicionais em validação cadastral, KYB, dados societários e enriquecimento — frentes em que preço por consulta e flexibilidade de API são decisivos. Eles compõem, ao lado do score de bureau, a arquitetura de dados auditável que a instituição precisa demonstrar ao Banco Central na janela de autorização.

Leia também no DataHub

Fontes

  1. NDM Advogados — Novas regras do Bacen para IP: Resoluções 494, 495, 496 e 497 (2025)
  2. Agência Gov — BC cria teto de R$ 15 mil para Pix e TED (2025)
  3. CNN Brasil — BC limita Pix em R$ 15 mil para instituições não autorizadas (2025)
  4. InfoMoney — BC limita transações via Pix e TED a R$ 15 mil (2025)
  5. AML Reputacional — Instituições de Pagamento: como se preparar diante da Resolução BCB nº 494 (2025)
  6. Silva Lopes Advogados — Novo prazo para Instituições de Pagamento pedirem autorização (2025)
  7. Bankly — Nova regra das instituições de pagamento: como funciona (2025)
  8. Serasa Experian — Resolução BCB 498: seguro cibernético obrigatório (2025)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos