Resumen: La Resolução BCB nº 457/2025 (resolución del Banco Central de Brasil) está en vigor desde el 1º de julio de 2025. Todas las instituciones participantes del Pix (el sistema de pagos instantáneos de Brasil) deben validar el CPF (número de identificación fiscal de las personas físicas en Brasil) y el CNPJ (registro fiscal de las empresas en Brasil) ante la Receita Federal (la autoridad tributaria federal) antes de registrar, modificar o portar llaves. Este artículo explica qué cambió, a quién impacta y cómo automatizar el cumplimiento vía API.
A partir de la Resolução BCB nº 457, del 6 de marzo de 2025, el Banco Central do Brasil pasó a exigir que todas las instituciones participantes del Pix — bancos, fintechs e instituciones de pago (IPs) — verifiquen la regularidad registral del CPF y el CNPJ en la Receita Federal antes de cualquier operación que involucre llaves Pix. En la práctica, esto significa tres cosas:
- Las llaves vinculadas a CPFs y CNPJs con situación registral irregular se excluyen automáticamente.
- Los nuevos registros, las modificaciones, las portabilidades y las reivindicaciones pasan por una validación obligatoria.
- Las instituciones que no se adecúen enfrentan multas diarias de R$ 10 mil (reales brasileños; el monto se ajusta según el porte), conforme a la Resolução BCB nº 506/2025.
Qué cambió con la Resolução BCB nº 457/2025
La Resolução BCB nº 457/2025 modificó el Reglamento del Pix para incluir una etapa de verificación registral obligatoria en toda operación que involucre llaves Pix. Antes de esta norma, la institución participante registraba la llave sin consultar la base de la Receita Federal — lo que permitía que los estafadores vincularan llaves a nombres distintos de los registrados en el CPF o el CNPJ.
Con la nueva regla, bancos, fintechs e IPs deben, antes de registrar, modificar o portar una llave Pix:
- Consultar la situación registral del CPF o CNPJ en la Receita Federal.
- Validar la consistencia del nombre del usuario final con el nombre registrado en la base de la Receita.
- Rechazar la operación si el CPF/CNPJ está en situación irregular o si hay divergencia de nombre.
Esta verificación se aplica a todas las modalidades de llave: CPF, CNPJ, correo electrónico, teléfono y llave aleatoria — porque el vínculo con el titular siempre pasa por la validación del documento.
Qué motivó el cambio
El Pix movió más de R$ 26 billones en 2025 y se convirtió en el principal medio de pago de Brasil. Con ese volumen también crecieron los fraudes: estafas de ingeniería social, cuentas de testaferros (las llamadas "contas laranja") y llaves vinculadas a documentos irregulares. La Resolução 457 forma parte de un marco antifraude más amplio del BCB que incluye el MED 2.0 (Mecanismo Especial de Devolução, el mecanismo especial de devolución del Pix), la consulta obligatoria al BC Protege+ y un régimen de multas por incumplimiento.
Qué CPFs y CNPJs quedan bloqueados
La norma define taxativamente qué situaciones registrales impiden el registro de llaves Pix:
Importante: la restricción se refiere exclusivamente a la situación registral en la Receita Federal. Las deudas tributarias, las restricciones en burós de crédito como Serasa/SPC o la morosidad fiscal no impiden el uso del Pix. Un CPF con situación "Regular" puede tener deuda activa en la PGFN (Procuradoria-Geral da Fazenda Nacional, el órgano que administra la deuda activa federal) y seguir usando llaves Pix con normalidad.
Cronograma de implementación
| Fecha | Hito |
|---|---|
| 06/03/2025 | Publicación de la Resolução BCB nº 457/2025 |
| 01/07/2025 | Entrada en vigor — validación obligatoria para nuevos registros de llave |
| 01/12/2025 | Consulta obligatoria al BC Protege+ para todas las transacciones Pix |
| 12/2025 | Plazo final para el registro de los proveedores antifraude en el Unicad |
| 01/01–01/05/2026 | Ventana para que las IPs soliciten la autorización formal al BCB (Resolução BCB nº 506/2025) |
| Abril/2026 | Los correos electrónicos ya no podrán cambiar de titular como llave Pix |
| Continuo | Monitoreo periódico del BCB + multas por incumplimiento |
Impacto estimado: quién se ve afectado
Según estimaciones del Banco Central, cerca del 1% de las llaves Pix registradas se ven afectadas por la medida. Esto incluye llaves vinculadas a CPFs de personas fallecidas, documentos con errores de escritura en la base de la Receita y CNPJs de empresas dadas de baja o inaptas que todavía mantenían llaves activas.
Para la gran mayoría de los brasileños y de las empresas con situación registral regular, nada cambia en el uso cotidiano del Pix. La medida alcanza específicamente a las cuentas que estaban siendo usadas de forma irregular — muchas veces como instrumento de fraude.
Qué cambia para las fintechs y las instituciones de pago
Si su empresa opera como institución de pago, banco digital o fintech que procesa Pix, las obligaciones son directas e inmediatas. La Resolução 457 afecta a toda la cadena de participantes — desde los grandes bancos hasta las IPs de menor porte.
Por tipo de institución
Emisores de dinero electrónico: deben validar el CPF/CNPJ al momento de la apertura de la cuenta digital y antes del registro de cualquier llave Pix. Como muchos operan con onboarding 100% digital y altos volúmenes de cuentas, automatizar la consulta registral vía API es esencial para mantener el SLA de apertura.
Adquirentes y subadquirentes: además de las llaves de sus propios comercios (personas jurídicas), deben garantizar que las llaves vinculadas a esquemas de split de pagos tengan una situación registral regular. Los CNPJs inaptos o dados de baja de sellers en marketplaces son un punto de atención recurrente.
Iniciadores de transacciones de pago (ITPs): aunque no registran llaves directamente, los ITPs están obligados a consultar el BC Protege+ antes de iniciar una transacción. El cruce con la situación registral refuerza la capa antifraude.
Bancos digitales y tradicionales: deben implementar la validación tanto para clientes persona física como persona jurídica, incluido el monitoreo continuo de las llaves ya registradas. La diferencia de porte no exime — la multa es ajustable, pero la obligación es la misma.
Obligaciones operativas
Onboarding y KYC: el proceso de apertura de cuenta y registro de llaves debe incluir la validación en tiempo real de la situación registral del CPF/CNPJ. No basta con validar el formato del documento — es necesario confirmar la regularidad ante la Receita Federal.
Monitoreo continuo: no se trata solo de una verificación al momento del registro. La institución debe mantener sistemas de monitoreo antifraude 24×7 con análisis de patrones de comportamiento, con capacidad de bloquear operaciones sospechosas.
Registro en el Unicad: los proveedores de servicios de tecnología de la información (PSTIs) que actúan en el antifraude del Pix deben estar registrados en el sistema Unicad del BCB.
Informes de auditoría: los PSTIs deben presentar un informe de aseguramiento razonable emitido por un auditor independiente.
Autorización formal (IPs): la Resolução BCB nº 506/2025 establece una ventana entre el 1º de enero y el 1º de mayo de 2026 para que las instituciones de pago soliciten la autorización formal al BCB. Las IPs que no cumplan ese plazo pierden la condición de participante del Pix.
Si su empresa no es una IP pero usa Pix para recibir pagos, el impacto es indirecto: basta con mantener el CNPJ con situación activa en la Receita Federal. Si el CNPJ está suspendido, inapto o dado de baja, las llaves Pix vinculadas se excluirán automáticamente.
MED 2.0: devolución y bloqueo antifraude
La Resolução 457 forma parte de un paquete regulatorio que incluye la evolución del Mecanismo Especial de Devolução (MED), ahora llamado informalmente MED 2.0. Los principales cambios impactan directamente el flujo operativo de fintechs e IPs:
Bloqueo inmediato con devoluciones parciales: antes, la devolución era un proceso único. Ahora los montos pueden devolverse en partes, bajo plazos estrictos, lo que permite recuperar fondos incluso cuando fueron dispersados hacia múltiples cuentas.
Ampliación del concepto de fraude: el MED ahora cubre las estafas de ingeniería social — cuando la víctima es inducida a hacer la transferencia voluntariamente, pero bajo manipulación.
Marcación transaccional: una vez que una cuenta recibe una notificación de infracción por fraude, todas las transacciones Pix que involucren a ese usuario quedan bloqueadas (excepto las devoluciones). Quedan vedadas la portabilidad y la reivindicación de llaves.
Consulta al BC Protege+: desde el 1º de diciembre de 2025, las instituciones están obligadas a consultar el sistema BC Protege+ antes de procesar transacciones, identificando en tiempo real las cuentas marcadas por fraude.
Cómo validar CPF y CNPJ vía API
Para las fintechs e IPs que necesitan automatizar la verificación de la situación registral, FonteData ofrece endpoints dedicados de consulta de CPF y CNPJ vía API REST. En lugar de integrarse directamente con la Receita Federal (un proceso burocrático, sin SLA y sujeto a inestabilidades), la API de FonteData devuelve datos actualizados de la Receita con una latencia inferior a 200 ms.
Ejemplo de validación en Python
import requests
FONTEDATA_API = "https://app.fontedata.com/api/v1/consulta"
API_KEY = "sua_chave_aqui"
SITUACOES_BLOQUEADAS_PF = {"SUSPENSA", "CANCELADA", "TITULAR FALECIDO", "NULA"}
SITUACOES_BLOQUEADAS_PJ = {"SUSPENSA", "INAPTA", "BAIXADA", "NULA"}
def validar_documento(documento: str) -> dict:
"""
Valida un CPF o CNPJ para el cumplimiento de la Resolução BCB 457/2025.
Devuelve un dict con 'aprovado' (bool), 'situacao' y 'nome'.
"""
doc_limpo = documento.replace(".", "").replace("-", "").replace("/", "")
if len(doc_limpo) == 11:
tipo = "cpf"
bloqueadas = SITUACOES_BLOQUEADAS_PF
elif len(doc_limpo) == 14:
tipo = "cnpj"
bloqueadas = SITUACOES_BLOQUEADAS_PJ
else:
return {"aprovado": False, "erro": "Documento inválido"}
resp = requests.get(
f"{FONTEDATA_API}/{tipo}/{doc_limpo}",
headers={"X-API-Key": API_KEY},
timeout=10
)
resp.raise_for_status()
dados = resp.json()
situacao = dados.get("situacao_cadastral", "").upper()
return {
"aprovado": situacao not in bloqueadas,
"situacao": situacao,
"nome": dados.get("nome") or dados.get("razao_social"),
"tipo": tipo,
}
# Uso
resultado = validar_documento("11.222.333/0001-81")
if resultado["aprovado"]:
print(f"✓ {resultado['nome']} — situação: {resultado['situacao']}")
else:
print(f"✗ Bloqueado — situação: {resultado['situacao']}")
El campo situacao_cadastral devuelve el estatus exacto de la Receita Federal. Basta con verificar si el valor está en la lista de situaciones bloqueadas para decidir si la operación de llave Pix puede continuar.
Implementación práctica: flujo de validación
El flujo recomendado para adecuarse a la Resolução 457 en el proceso de registro de llaves Pix:
Puntos de atención en la implementación:
Latencia: la consulta a la API debe ser lo bastante rápida como para no degradar la experiencia del usuario. APIs como la de FonteData responden en menos de 200 ms — compatible con flujos de onboarding en tiempo real.
Cache con cuidado: es tentador cachear los resultados de la consulta registral, pero las situaciones pueden cambiar (un CNPJ puede darse de baja entre una consulta y otra). Se recomienda un cache de como máximo 24 horas para la situación registral, con revalidación obligatoria en cada nueva operación de llave.
Fallback: si la API de consulta no está disponible, la operación de llave debe encolarse (no rechazarse), con reprocesamiento automático cuando el servicio vuelva. Rechazar por indisponibilidad genera fricción innecesaria — especialmente para IPs con alto volumen de onboarding.
Logs de auditoría: cada consulta y decisión (aprobación o rechazo) debe registrarse con timestamp, documento consultado, situación devuelta y decisión tomada. El BCB puede solicitar esas evidencias en una fiscalización.
Sanciones por incumplimiento
La Resolução BCB nº 506/2025 complementa a la 457 con un régimen de sanciones estructurado:
Multa diaria: valor base de R$ 10.000 por día de incumplimiento, ajustable según el porte de la institución. Para fintechs e IPs de menor porte, el monto puede ser inferior; para los grandes bancos, significativamente superior.
Suspensión cautelar: el BCB puede suspender la participación de una institución en el Pix si detecta el incumplimiento de reglas operativas, manuales técnicos o normas de seguridad.
Pérdida de participación (IPs): las instituciones de pago que no soliciten la autorización formal dentro de la ventana de enero a mayo de 2026 pierden automáticamente la condición de participante del Pix.
Monitoreo periódico: el BCB monitorea activamente la conducta de los participantes. Las instituciones con altas tasas de llaves vinculadas a documentos irregulares o con fallas sistemáticas de validación serán notificadas y sancionadas.
Checklist de cumplimiento
Para garantizar que su institución — sea banco, fintech o IP — está adecuada a la Resolução BCB nº 457/2025:
- Implementar la validación de la situación registral del CPF/CNPJ vía API en tiempo real
- Validar la consistencia del nombre del titular con la base de la Receita Federal
- Excluir las llaves existentes vinculadas a documentos con situación irregular
- Integrar la consulta al BC Protege+ en el flujo transaccional
- Configurar el monitoreo antifraude 24×7 con análisis de comportamiento
- Registrar a los proveedores antifraude en el Unicad (si aplica)
- Obtener el informe de aseguramiento de un auditor independiente (para PSTIs)
- Implementar logs de auditoría para todas las decisiones de registro de llave
- Configurar alertas para cambios en la situación registral de los titulares existentes
- Solicitar la autorización formal al BCB dentro de la ventana ene–may/2026 (para IPs)
- Documentar el plan de cumplimiento con un cronograma actualizado
Conclusión
La Resolução BCB nº 457/2025 no es solo una norma regulatoria más — es un cambio estructural en la seguridad del Pix. La validación obligatoria del CPF y el CNPJ ante la Receita Federal eleva el nivel de confianza en el ecosistema de pagos instantáneos y dificulta significativamente el uso de cuentas de testaferros y llaves fraudulentas.
Para fintechs, IPs y bancos, la adecuación es obligatoria y los plazos ya están en vigor. La buena noticia es que la implementación técnica es relativamente simple: una llamada de API en el flujo de registro de llaves resuelve la mayor parte del cumplimiento.
FonteData ofrece endpoints de consulta de CPF y CNPJ con datos actualizados de la Receita Federal, respuesta en menos de 200 ms e integración en pocas líneas de código. Ideal para quien necesita automatizar el cumplimiento sin reinventar la rueda.
Pruebe la API de FonteData
Consulte CPF, CNPJ, situación registral y más de 100 endpoints de datos brasileños. Cree su cuenta y reciba R$ 50 en créditos para probar — sin tarjeta de crédito.
Lea también
- CNPJ Alfanumérico 2026: qué cambia para los desarrolladores
- ECA Digital: verificación de edad vía CPF
- Consulta de CPF vía API: cómo automatizar validaciones
Este artículo tiene carácter exclusivamente informativo y educativo. No constituye asesoramiento jurídico, dictamen legal ni recomendación regulatoria. La información aquí presentada refleja el entendimiento de los autores en la fecha de publicación y puede no contemplar cambios normativos posteriores. Para una orientación específica sobre cumplimiento regulatorio, consulte a un abogado especializado en derecho bancario y regulatorio.
Referencias
Pruebe la API de FonteData
Consulte datos de empresas y personas vía API — CNPJ, CPF, KYC, compliance y más. R$50 en créditos gratis para probar.
Crear cuenta gratis →