Publicidade
Casos de ataques a instituições financeiras ligadas ao Pix ganharam destaque no noticiário nos últimos meses, levantando dúvidas sobre a segurança do meio de pagamento mais popular do País. Embora as falhas identificadas estejam nos sistemas próprios das empresas que participam das operações financeiras, a infraestrutura central do Pix – o Sistema de Pagamentos Instantâneos (SPI) – permaneceu intacta.
CONTINUA APÓS A PUBLICIDADE
Os criminosos têm se aproveitado de brechas nos sistemas de fintechs e de empresas prestadoras de tecnologia para praticar crimes. Os casos recentes atingiram principalmente os chamados Provedores de Serviços de Tecnologia da Informação (PSTIs) – iniciativas autorizadas que dão acesso para outras instituições à Rede do Sistema Financeiro Nacional (RSFN).
A Sinqia Digital, que sofreu um ataque hacker no final de agosto, atuava como PSTI. Até R$ 710 milhões foram desviados, segundo dados obtidos pelo Estadão/Broadcast. Desse total, R$ 589 milhões, ou 83%, foram bloqueados com sucesso pelo Banco Central (BC) desde a divulgação do incidente de segurança.
As transações irregulares foram realizadas com credenciais legítimas de fornecedores de tecnologia da informação (TI), cujo acesso foi imediatamente encerrado, segundo a empresa. A Sinqia diz que não há indícios de comprometimento de dados pessoais e contratou especialistas em cibersegurança para investigar o incidente.
De acordo com Roberto Panucci, advogado especialista em direito bancário e sócio do Panucci, Severo e Nebias Advogados, o caráter instantâneo do Pix facilita a tática de “fatiar” e transferir valores sucessivamente antes que as autoridades consigam bloquear as transações.
Publicidade
Conteúdos e análises exclusivas para ajudar você a investir. Faça seu cadastro na Ágora Investimentos
“A velocidade do Pix, uma grande vantagem para usuários legítimos, também é explorada por criminosos para acelerar crimes financeiros”, diz.
O advogado explica que os alvos dos ataques recentes têm sido as instituições e empresas integradas ao ecossistema do Pix, não os usuários comuns que realizam transações.
“Os criminosos não hackearam o Pix em si, mas sim alguns dos elos na cadeia de instituições participantes do sistema.”
Outros tipos de golpes, no entanto, podem afetar diretamente os consumidores que utilizam o meio de pagamentos instantâneo.
O Brasil se consolidou como o principal alvo de trojans bancários na América Latina, respondendo por 61% das detecções registradas na região em 2024 – um aumento de cerca de 15% em relação ao ano anterior –, segundo o ESET Security Report 2025, relatório anual da ESET, empresa especializada em detecção de ameaças.
Esses softwares maliciosos são programas criados para roubar credenciais financeiras, como logins e senhas de internet banking, e também explorar transações em tempo real. Os trojans bancários se espalham por instaladores falsos e até downloads disfarçados em sites comprometidos.
Para Daniel Barbosa, pesquisador de segurança da ESET Brasil, os ataques refletem tanto a sofisticação dos grupos locais quanto a atratividade do mercado financeiro nacional. “O resultado é uma pressão adicional sobre bancos e empresas, que precisam aumentar seus investimentos em segurança digital para preservar a confiança de clientes e parceiros”, afirma.
Ao E-Investidor, Ricardo Mourão, chefe do Departamento de Competição e de Estrutura do Mercado Financeiro do BC, explicou o passo a passo que ocorre entre usuários em uma transação via Pix.
Publicidade
O pagador inicia a transferência no aplicativo do seu banco, informando a chave Pix do destinatário (como CPF/CNPJ, e-mail, telefone ou chave aleatória) ou lendo um QR Code. Nesse momento, a instituição do usuário verifica se há saldo e dados necessários para prosseguir com a operação.
Em seguida, a instituição envia a ordem de pagamento ao BC, mais especificamente ao Diretório de Identificadores de Contas Transacionais (DICT), que funciona como uma grande base de dados onde estão todas as chaves Pix. O DICT confirma as informações do recebedor, verificando se elas correspondem a uma conta válida.
Confirmada a existência da conta de destino, o banco do pagador comunica ao Sistema de Pagamentos Instantâneos (SPI) a intenção de transferir os recursos. O SPI atua como uma infraestrutura central que interliga todas as instituições participantes, realizando a mediação entre o banco do pagador e o do recebedor dentro de poucos segundos.
Essa comunicação com o SPI ocorre por meio da RSFN, uma rede para instituições financeiras. Os participantes diretos têm acesso à RSFN, enquanto os indiretos só podem se conectar por meio dos primeiros.
Esse é o caso, por exemplo, de uma instituição de pagamento que mantém conta em um banco – nessa situação, uma participante indireta. Assim, utiliza os serviços do participante direto para operar dentro do ecossistema do Pix.
Existe outra possibilidade: o participante direto pode se conectar a um PSTI, já que a conexão direta com a RSFN envolve custos elevados. “Em alguns casos, o volume de transações não compensa o investimento necessário para manter essa estrutura própria, tornando mais vantajoso aderir a um PSTI”, explica Mourão.
Depois que os dados passam pela RSFN, o SPI encaminha a transação para a instituição do recebedor, que verifica os dados, checando, por exemplo, se a conta existe e se não há algum impedimento, como suspeita de fraude. Uma vez validada, o banco aceita a operação.
Publicidade
Com a aprovação, a liquidação financeira ocorre instantaneamente: o dinheiro sai da conta da instituição do pagador e entra na conta da instituição do recebedor, que credita o valor ao cliente destinatário. Ao final, todos os envolvidos recebem a confirmação da transferência concluída.
A seguir, Alex Hoffmann, CEO da PagBrasil, empresa de tecnologia especializada em pagamentos digitais, explica, em vídeo, como os participantes interagem no ecossistema do Pix.
Em setembro, o BC anunciou novas regras para reforçar a segurança do sistema financeiro. A principal ação imediata veio da criação de um teto de R$ 15 mil para transferências via Pix e Transferência Eletrônica Disponível (TED) envolvendo certos tipos de participantes considerados de maior risco.
A limitação de valor se aplica a duas categorias específicas: instituições de pagamento não autorizadas pelo BC e instituições que se conectam ao sistema financeiro por meio de PSTIs, em vez de conexão direta própria.
Publicidade
Os prestadores de serviço de tecnologia também precisarão passar por controles mais rígidos de governança e segurança. Agora, eles devem ter capital mínimo de R$ 15 milhões. A norma entrou em vigor imediatamente e os PSTIs em atividade têm até quatro meses para se adequarem.
Panucci, advogado especialista em direito bancário, explica que as medidas não trazem efeitos práticos aos usuários comuns do Pix, exceto para aqueles que tentarem fazer uma transação acima de R$ 15 mil em instituições de pagamento não autorizadas ou que operam via PSTI.
Ele acredita que as regras não são o “fim da linha” no combate às fraudes no Pix, mas atacam pontos críticos revelados agora e devem diminuir significativamente os riscos imediatos. “Contudo, dado o dinamismo do crime organizado, é provável que novas ações precisem ser implementadas ao longo do tempo”, pondera.
Para Hoffmann, da PagBrasil, as novas medidas de segurança poderiam ter evitado os recentes ataques cibernéticos ao Pix. “É fácil criticar o BC de forma retroativa, mas vulnerabilidades podem ocorrer. O ponto que gosto de reforçar é que o sistema, no geral, tem muita segurança”, afirma.
No final do último mês, o BC anunciou mais mudanças. Entre elas, está a ampliação do prazo para que instituições excluídas do Pix possam apresentar novo pedido de adesão, passando de 12 para 60 meses.
Publicidade
Outra novidade: os participantes do sistema agora têm a prerrogativa de definir limites de valor por transação com base exclusivamente no perfil de risco e no comportamento de cada cliente, sem a obrigação de adotar o mesmo limite aplicado à TED.
Desde o início de outubro, aplicativos de instituições financeiras também ganharam um botão de contestação do Pix para casos de fraude, golpe e coerção, que pode ser acionado por clientes de forma totalmente digital. A ferramenta busca aumentar a velocidade do bloqueio de recursos na conta do golpista. Veja como utilizá-la aqui.
Publicidade
Invista em informação
As notícias mais importantes sobre mercado, investimentos e finanças pessoais direto no seu navegador
