06/09/2025 — Uma sequência de invasões a instituições que se conectam ao Pix desviou quase R$ 2 bilhões e reacendeu o debate sobre a proteção do sistema de pagamentos instantâneos brasileiro.
Em julho, criminosos retiraram mais de R$ 1 bilhão de contas de reserva usadas para liquidar transações do Pix. No fim de agosto, outro golpe subtraiu R$ 710 milhões. Já em setembro ocorreram ao menos duas novas tentativas; nenhuma delas conseguiu movimentar valores vinculados ao Pix.
Medidas anunciadas pelo Banco Central
Após os ataques, o Banco Central informou na sexta-feira (5) um pacote emergencial para reforçar a segurança:
• Limite de R$ 15 mil para transferências via Pix ou TED feitas por instituições de pagamento sem autorização do BC ou que utilizam prestadores de serviços de TI.
• Exigência mínima de R$ 15 milhões em caixa para credenciamento de prestadores de serviço.
• Antecipação do prazo de pedido de autorização de dezembro de 2029 para maio de 2026.
Brechas conhecidas, dizem especialistas
Consultados antes do anúncio das novas regras, especialistas afirmam que as vulnerabilidades já eram conhecidas. Para Juan Ferrés, sócio da plataforma de automação Teros, a fragilidade está na mensageria que liga as contas de reserva ao Pix, onde as instituições deveriam adotar camadas adicionais de segurança, como VPNs dedicadas, criptografia e múltiplas validações.
Ferrés acrescenta que nem todas as movimentações precisam ser liquidadas em segundos, como ocorre com o Pix, e defende cenários de uso que permitam mais controles.
Pedro Magalhães, da fintech de criptomoedas Pixley, avalia que o sistema não foi reforçado após o primeiro ataque. Segundo ele, a repetição do golpe indica que outras ações podem estar em andamento.
Fintechs de crédito na mira
No intervalo de três dias, duas fintechs foram alvo de criminosos. Na terça-feira (2), a Monetarie teve R$ 4,9 milhões desviados; R$ 4,7 milhões foram recuperados no mesmo dia. Ao ver o acesso ao Pix bloqueado, os invasores migraram para a plataforma de TEDs.
Imagem: Bruno Peres
Na quinta-feira (4), outra fintech — cujo nome não foi divulgado — sofreu um ataque que paralisou a geração de query code para pagamentos, mas não houve roubo de valores ou dados.
Identificação dos hackers é considerada crucial
Magalhães ressalta que a prisão dos responsáveis é essencial para desestimular novos delitos, cenário ainda raro. Ele também aponta negligência de algumas empresas na gestão de chaves digitais e no controle de acesso.
Para Ferrés, o problema não está na ausência de regras, mas na fragmentação do modelo regulatório, que teria facilitado a entrada de agentes sem estrutura adequada. O executivo cita o Open Finance como exemplo de ambiente mais seguro, com monitoramento centralizado das mensagens e padrões mínimos consolidados.
As novas exigências do Banco Central entram em vigor imediatamente, enquanto o mercado reforça procedimentos internos para evitar perdas semelhantes.
Com informações de Gazeta do Povo
