Desde 2021, os bancos não precisavam da autorização do cliente para cobranças em débito automático em favor de outras instituições financeiras. Então, uma sociedade de crédito poderia encaminhar ao banco uma lista de clientes que deveriam ser debitados. O banco apenas processava as cobranças, sem perguntar nada aos clientes. Cabia à sociedade de crédito obter a autorização.

Isso abriu uma brecha para que empresas fizessem débitos automáticos indevidos usando pequenas empresas financeiras como intermediárias. Dessa forma, o pedido de débito automático não passava pelo filtro de segurança dos bancos. O UOL identificou que uma seguradora e dois clubes de benefício operaram dessa forma. O número de ações judiciais contra esses grupos disparou de 1,4 mil, em 2020, para 31,7 mil, em 2024.

As vítimas desses débitos indevidos são aposentados e pensionistas do INSS. Isso indica que houve vazamento de dados da folha de pagamento da instituição, já que, para cadastrar um débito automático, é preciso ter nome e CPF, bem como o número da agência e da conta em que a aposentadoria é paga.

Agora, o BC determinou que os bancos devem solicitar diretamente aos clientes autorização para fazer esse tipo de débito automático. O que vale é quem é o "usuário final recebedor dos recursos referentes à autorização de débito". Se for uma empresa financeira que realizou um empréstimo, por exemplo, as regras anteriores seguem em vigor. Já se for um outro tipo de empresa, como uma seguradora ou um clube privado que usa uma financeira como intermediária, então o banco precisa do ok do cliente.

A regra que passa a vigorar nestes casos é a mesma do Pix Automático, que exige que o cliente autorize a cobrança no app do banco. Em vigor desde junho deste ano, o Pix Automático permite que o próprio usuário autorize, cancele, pause ou altere as cobranças automáticas.