A estrutura do Pix, o meio de pagamento preferido dos brasileiros, tem sido alvo de criminosos que exploram brechas dos participantes do sistema. A maioria até agora esteve ligada às provedoras de tecnologia, mercado de poucas empresas e que tem sido visado nos últimos ataques.
Nos últimos dois meses, foi desviado mais de R$ 1,5 bilhão de bancos e fintechs via Pix por meio de invasões aos sistemas de empresas de tecnologia, sendo parte bloqueado pelo Banco Central (BC).
- Corte de pessoal: Itaú Unibanco demite funcionários em trabalho remoto, e sindicato cobra explicações
- Pix: Um dia após anunciar novas medidas de segurança, BC alerta para dois novos incidentes cibernéticos
Em resposta, o BC endureceu as regras. Na sexta-feira, passou a limitar transações e antecipou prazos de licenciamento. Agora, há uma trava de R$ 15 mil por transação para fintechs sem autorização ou para aquelas instituições que usam provedoras de tecnologia para a integração de seus sistemas aos da autoridade monetária.
Além disso, o órgão antecipou de 2029 para 2026 o prazo de solicitação de licença para instituições de pagamento e vai aumentar cobranças sobre as prestadoras de serviço de tecnologia.
- Medidas: Entenda o que vai mudar para recuperar dinheiro roubado em golpes do Pix
Existem duas formas de se conectar ao Pix. Bancos ou fintechs de grande porte têm ligação direta com o sistema do BC. Eles mesmos fazem a compensação do dinheiro. Empresas com menor estrutura contratam provedores, que conectam o sistema do banco ou fintech ao do BC.
É principalmente neste segundo modelo que têm aparecido vulnerabilidades, explica Lígia Lopes, CEO da Teros:
— Criminosos se aproveitaram justamente da fragilidade de intermediadoras, sem tocar na estrutura central. Essa diferença precisa ser enfatizada: o Pix como sistema segue sólido, o que falhou foi o entorno.
Qual é o caminho que o Pix percorre quando há um banco/fintech em comparação com o percurso de instituições menores que usam intermediários?
Quando o Pix é feito entre instituições com conexão direta ao Banco Central (BC), a transação é liquidada no sistema de pagamento instantâneo (SPI) ou Sistema Pix, debitando e creditando os valores das contas de liquidação do BC e chegando em segundos à conta do recebedor. Já instituições menores precisam passar por uma provedora de sistema de tecnologia da informação (PSTI), que faz a ponte até o sistema do BC, adicionando uma etapa extra na transferência.
A diferença é que instituições grandes falam direto com a infraestrutura do BC, enquanto as menores dependem de intermediários. Especialistas explicam que a maior parte dos ataques recentes foi feita explorando brechas das provedoras de serviços de TI. Segundo o especialista Renato Cunha, no caso da C&M, ficou comprovado que ocorreu através de venda de credenciais, os dados de acesso ao sistema. Já o da Sinqia, ainda não se sabe como foi, mas ambos foram feitos explorando vulnerabilidades na segurança dos sistemas, afirma.
Outro ponto em comum é o horário que os ataques se deram, explica Rocelo Lopes, CEO da SmartPay.
— Todos os ataques foram fora do horário de expediente comercial. Por que não acontece, geralmente, às 15h da tarde? Porque tem mais gente monitorando.
Por que algumas instituições dependem de intermediadoras?
Renato Cunha, especialista de meios de pagamento e defesa cibernética, diz que é caro se conectar diretamente ao sistema do Pix, É preciso ter uma infraestrutura robusta, equipes especializadas e seguir exigências do BC:
—Isso torna a operação extremamente cara.
Essas pequenas instituições, diz Cunha, não têm um volume de transações suficiente para justificar o investimento para conexão direta.
Segundo Lígia, esse modelo que foi criado para fomentar a concorrência e inclusão permitiu que cerca de 1.500 instituições participassem. Mas essa pulverização é considerada arriscada, e a tendência, como nos EUA, é a concentração da custódia em poucos agentes altamente regulados, deixando os demais com foco na inovação em pagamentos, sem custodiar recursos.
O que são as contas depositárias que as intermediadoras têm de manter no Banco Central?
Chamadas de contas de liquidação ou contas PI (pagamento instantâneo), elas funcionam como uma reserva de dinheiro das instituições para processar Pix e outras transferências. Por isso, não pertencem aos clientes individuais e sim à instituição que gerencia os recursos. O valor nunca circula por sistemas privados e fica sempre sob custódia do BC. Ataques recentes não atingiram essas contas, mas sim a forma como algumas instituições gerenciam o acesso e as credenciais vinculadas a elas, diz Lígia.
Por que essas empresas de tecnologia tem se mostrado mais vulneráveis a ataques?
Provedoras de tecnologia são participantes indiretos do Pix e, até recentemente, seguiam normas menos rígidas que os grandes bancos. Elas cresceram rápido focando em produto e clientes sem dar a mesma atenção à governança e à segurança, o que deixou brechas passíveis de ataques.
— Como ocorreu no caso da C&M, através de credenciais de colaborador foi possível acessar as contas de liquidação do BC das empresas afetadas. Isso mostra fragilidade na arquitetura e falta de isolamento técnico além de problemas sérios com monitoramento — diz Cunha.
Por que quando essas intermediadoras têm recursos desviados isso não afeta os clientes? E por que não foram atingidos correntistas ou clientes até agora?
Os clientes não são afetados porque foi um ataque à infraestrutura das provedoras, ou seja, às contas de liquidação das instituições no BC, e não às contas dos clientes. Há uma separação entre o dinheiro dos clientes e os recursos das empresas, garantindo que pessoas físicas e empresas não sejam impactadas.
Quem protege o sistema Pix e como?
O BC protege o núcleo do Pix, que inclui o sistema de pagamentos instantâneos e o diretório de identificadores de contas transacionais (DICT). Ele usa criptografia, define regras para as participantes e monitora as transações. Cada instituição participante protege as “bordas” do sistema, ou seja, os aplicativos, APIs (interface de programação) e integrações, e é responsável por manter controles próprios de segurança e antifraude. O BC garante a infraestrutura e os participantes garantem que o acesso e o uso estejam seguros. O BC fiscaliza as provedoras de serviço de segurança da informação, o que agora se tornou regra mais rígida depois dos recentes ataques.
Se houver um desvio que afete meus dados ou recursos, quem responde por isso?
A responsabilidade é da instituição com a qual o cliente tem relação direta, como bancos ou fintechs, que devem ressarcir perdas em caso de falhas ou fraudes e têm mecanismos de resolução de disputas e ressarcimento. O BC mantém apenas a infraestrutura do Pix e não cobre prejuízos individuais.
Reportagem do GLOBO mostrou que foram feitas apenas cinco ações de fiscalização e ninguém foi punido. Falta fiscalização?
O Pix é um dos sistemas mais regulados do mundo, mas a fiscalização tem sido limitada e corretiva, não preventiva, segundo especialistas. O BC já endureceu regras após os ataques, como limitar transações e exigir capital mínimo de R$ 15 milhões para provedores de tecnologia.
Existe solução tecnológica para blindar o sistema?
Não há proteção absoluta, mas camadas sucessivas de segurança, incluindo autenticação forte, monitoramento em tempo real e auditorias que aumentam a resiliência. Modelos como “zero trust”, no qual não há confiança em nenhuma entidade (usuário, dispositivo ou aplicação) por padrão, ajudam. Mas essas proteções precisam ser combinadas com processos robustos e governança ativa. Neste tipo de modelo, se um criminoso obtém êxito no desvio, o dano fica restrito ao compartimento afetado, assim como os volumes financeiros.
A exigência de capital mínimo de R$ 15 milhões é suficiente para segurança?
Ajuda a filtrar empresas financeiramente frágeis, mas não garante proteção contra ataques sofisticados. A segurança depende de processos sólidos, governança ativa e infraestrutura tecnológica robusta, dizem especialistas.
Por que o mercado de provedores de tecnologia é tão concentrado?
O alto custo de entrada, necessidade de infraestrutura funcionando ininterruptamente e compliance rigoroso favorecem essa situação de poucos players. A concentração garante escala e especialização, mas aumenta o impacto caso uma provedora seja atacada.
Faz sentido exigir conexão direta de todas as instituições ao Pix?
Não, obrigar as 1.500 instituições a se conectar ao sistema aumentaria riscos e reduziria a concorrência.
O BC apertar a fiscalização pode afetar a concorrência?
Sim, regras muito rígidas podem excluir empresas menores e inibir inovação. O ideal, na avaliação dos especialistas, é diferenciar funções: concentrar em custódia e liquidação, mas manter a inovação e integração ao cliente distribuídas. Esta é vista como uma forma de equilibrar segurança e competitividade.
