O Banco Central realiza o controle do fluxo de acesso aos serviços do DICT que é realizado por meio de políticas de limitação de requisições por meio de algoritmo de token bucket.

Em suma, há dois baldes de fichas: um para chaves do tipo E-MAIL e PHONE e outro para chaves do tipo CPF, CNPJ e EVP(aleatória).

Cada balde possui capacidade máxima de 1000 fichas, e há reposição de 2 fichas por minuto até a capacidade máxima do balde. Caso a quantidade de fichas chegue a zero, haverá limitação de requisições.

Política para uso do balde de fichas

Regra de contagem da política antiscan:

• Quando há retorno HTTP Status 200 em uma requisição de iniciação de pagamento, subtrai-se 1 ficha;
• Quando é realizada uma confirmação de pagamento, adiciona-se 1 ficha;
• Quando há Iniciação de Pagamento para chave inexistente, serão consumidas 20 fichas;

O Banco BS2 disponibiliza um endpoint de validação de chave DICT, que pode ser utilizado para consultar a validez de uma chave DICT antes de iniciar um fluxo de pagamento, mitigando os retornos HTTP Status 404. Pagamento - Iniciar pagamento por chave .

O Banco BS2 realiza a validação de Chave DICT automaticamente no fluxo de pagamento assíncrono.

A seguir, a documentação do Banco Central sobre o assunto:
https://www.bcb.gov.br/content/estabilidadefinanceira/pix/API-DICT.html#section/Seguranca/Limitacao-de-requisicoes

A limitação por parte dos token bucket não ocorrerá nas iniciações por dados manuais, pois neste caso, não haverá acesso ao DICT.