Cadastro de dispositivo no Pix: evolução e desafios para as instituições reguladas

As regras para o cadastro de dispositivos no Pix foram estabelecidas pela Resolução BCB nº 403/2024 e pela Instrução Normativa BCB nº 491/202 (alterada pela IN n° 594/2025). Desde novembro de 2024, as transações Pix acima de R$ 200,00, limitadas a R$ 1.000,00 por dia, só poderão ser realizadas mediante dispositivo devidamente cadastrado.

O cadastro do dispositivo exige a confirmação da identidade do titular da conta por meio de:
1) confirmação de dados pessoais como nome, CPF, telefone, e-mail, número da conta e agência; ou
2) uso de mecanismos seguros como smartcards, tokens criptográficos, OTPs ou acesso biométrico.
Ambos os meios precisam ser combinados com mecanismos de códigos de verificação ou autenticação em dois fatores.

O uso de mecanismos seguros como alternativa à confirmação de dados cadastrais —  estáticos e pouquíssimos eficazes — reflete uma tendência de mercado. A gestão e identificação de dispositivos são desafios complexos. Trocas legítimas de aparelho, uso de múltiplos dispositivos ou resets justificados levam a um novo (e desnecessário)  cadastro de dispositivo em razão, dentre outras, da fragilidade de várias das tecnologias tradicionais de identificadores de dispositivo (Device ID). É um sério problema de User Experience. Ao mesmo tempo, prevenir cadastros de dispositivos fraudulentos decorrentes de engenharia social e roubo de conta (account takeover) é uma séria necessidade que depende da capacidade de identificar padrões anômalos e dispositivos potencialmente maliciosos, que dificilmente será alcançado sem um Device ID robusto e persistente. 

Tecnologias de geolocalização, combinadas com identificação de dispositivos, despontam como soluções para essas dificuldades. A Incognia, ao analisar padrões de localização dos dispositivos vinculados a uma conta, consegue identificar comportamentos espaciais recorrentes e construir, de forma dinâmica, uma lista de locais confiáveis específicos para cada usuário. Isso, somado à capacidade de verificação de integridade do dispositivo, permite autenticar usuários legítimos de forma fluida e segura, especialmente porque, na maioria dos casos de cadastro de um novo dispositivo, essas ações ocorrem em locais previamente reconhecidos como confiáveis, como a residência ou o local de trabalho.

Por outro lado, quando um novo dispositivo tenta se associar a uma conta a partir de um ambiente atípico ou suspeito — como locais conhecidos por origem de fraudes —, a tecnologia da Incognia consegue identificar o risco com alto grau de precisão. Dessa forma, é possível criar uma barreira eficaz contra cadastros de dispositivos fraudulentos e tentativas de account takeover, ao mesmo tempo em que se preserva a experiência legítima do usuário com uma autenticação silenciosa e sem fricção.

Uma novidade introduzida pela IN nº 594/2025 é o reforço da obrigação de exclusão de dispositivos cadastrados, sem anuência do cliente, em casos como roubo, uso indevido ou comprometimento da segurança. Nesses casos, participantes do PIX só poderão permitir que os dispositivos voltem a realizar transações Pix ou alterações nas chaves Pix após um novo processo completo de cadastro. Instituições com Device IDs frágeis e sem uma boa capacidade de re-identificar dispositivos fraudulentos estarão expostas ao descumprimento do normativo. 

A trajetória que o Bacen adota aponta para uma valorização crescente de tecnologias inovadoras como pilares da segurança digital, desdobrando-se na necessidade de entidades reguladas adotarem formas mais sofisticadas de identificar dispositivos e usuários.