Pix: ataques cibernéticos desviaram mais de R$ 1,5 bi nos últimos dois meses

Nos últimos dois meses, mais de R$ 1,5 bilhão foram desviados de bancos e fintechs via Pix, após invasões aos sistemas de empresas de tecnologia que atuam como intermediadoras. As brechas, principalmente em provedores de tecnologia, revelam fragilidades que ameaçam a segurança do sistema. O Banco Central reforçou medidas para conter os ataques e limitar riscos, mas muitos desafios permanecem.

Vulnerabilidades no sistema de integração do Pix

Segundo especialistas, o maior risco está nas empresas que oferecem serviços de conexão ao sistema do Banco Central para instituições menores. Lígia Lopes, CEO da Teros, explica que “os criminosos se aproveitam da fragilidade dessas intermediadoras, sem tocar na estrutura central do Pix, que segue sólida”. Isso ocorre porque o modelo de conexão direta ao BC é mais seguro, enquanto o utilizado por provedores apresenta vulnerabilidades exploradas por hackers.

Dados recentes apontam que as invasões exploraram brechas na segurança de provedores de tecnologia, como no caso das empresas C&M e Sinqia, que tiveram credenciais de colaboradores comprometidas e acessaram contas de liquidação no BC, permitindo o desvio de fundos. Estes ataques, realizados fora do horário comercial, demonstram a necessidade de aprimorar a governança e as defesas das empresas intermediadoras.

Reforço nas regras e fiscalização do Banco Central

Para mitigar os riscos, o BC anunciou medidas emergenciais, como a limitação de transações de até R$ 15 mil para fintechs sem autorização, além de antecipar o prazo para solicitação de licenças, que passou de 2029 para 2026. O órgão também aumentou as exigências para provedores de tecnologia, com fiscalização mais rigorosa e cobrança de capital mínimo de R$ 15 milhões, visando fortalecer a segurança do sistema.

Por que as empresas menores dependem de intermediárias?

De acordo com Renato Cunha, especialista em meios de pagamento, a conexão direta ao sistema do BC requer infraestrutura robusta, equipes especializadas e altos investimentos, o que torna inviável para instituições de menor porte. Assim, a maioria usa provedores, que facilitam a conexão, mas aumentam a vulnerabilidade a ataques.

Riscos e limites do atual modelo

Embora o sistema do Pix seja considerado altamente regulado pelo BC, a fiscalização tem sido limitada e reativa. Segundo especialistas, o atual foco é corrigir falhas após incidentes, e não prevenir inflexões de segurança. Ainda assim, medidas como autenticação forte e monitoramento em tempo real ajudam a aumentar a resiliência, embora não possam garantir proteção absoluta contra ataques sofisticados.

O alto custo e a complexidade de manter a infraestrutura de segurança fazem com que poucas empresas de tecnologia atuem nesse mercado. Essa concentração de provedores aumenta o impacto de vulnerabilidades, visto que a maior parte do risco recai sobre essas intermediadoras, que operam com regulamentação menos rígida do que os grandes bancos.

Por que as vulnerabilidades não atingem diretamente os clientes?

Os ataques atualmente têm afetado principalmente as contas de liquidação, usadas pelos provedores para gerenciar recursos, e não as contas bancárias dos clientes finais. Assim, o prejuízo não é passado ao usuário final, e a separação de recursos garante proteção dos recursos dos clientes, mesmo em caso de invasões às infraestruturas das empresas.

Segurança do sistema Pix

O Banco Central mantém o núcleo do Pix protegido com criptografia e regras de segurança. Cada participante garante a segurança de suas aplicações e integrações, enquanto o BC monitora as transações e regula os participantes. Segundo Lígia Lopes, a regulação mais rígida após os incidentes visa ampliar a fiscalização e evitar novos ataques.

No entanto, especialistas alertam que o sistema, embora bem regulado, ainda depende de uma governança ativa, processos sólidos e camadas de proteção tecnológica. Modelos como “zero trust”, que não confiam de forma automática em nenhuma entidade, podem ajudar na resiliência do sistema.

Perspectivas futuras e riscos do aumento na regulação

Apesar das melhorias, a fiscalização limitada e o número reduzido de ações corretivas indicam a necessidade de uma fiscalização mais preventiva. A exigência de capital mínimo ajuda a filtrar empresas frágeis, mas a segurança total depende de investimentos constantes em governança e tecnologia.

Especialistas defendem uma estratégia de concentração das funções de custódia e liquidação, mantendo a inovação distribuída. Isso ajudaria a equilibrar segurança e competitividade, evitando riscos sistêmicos que diferentes ataques às intermediadoras podem gerar para o sistema financeiro.

Mais informações podem ser acompanhadas na reportagem do GLOBO.

Com informações do Jornal Diário do Povo