Nos últimos tempos, criminosos têm explorado vulnerabilidades nos sistemas de fintechs e empresas de tecnologia para cometer fraudes. Os incidentes mais recentes afetaram, em especial, os chamados Provedores de Serviços de Tecnologia da Informação (PSTIs), que são iniciativas autorizadas a conceder acesso à Rede do Sistema Financeiro Nacional (RSFN) para outras instituições financeiras.
Um dos casos notórios foi o da Sinqia Digital, que sofreu um ataque cibernético no final de agosto, com um desvio de até R$ 710 milhões, conforme informações obtidas pelo Estadão/Broadcast. Deste montante, R$ 589 milhões, equivalentes a 83%, foram bloqueados pelo Banco Central (BC) desde que o incidente de segurança foi tornado público. As transações irregulares foram realizadas utilizando credenciais válidas de fornecedores de tecnologia da informação (TI), cujo acesso, segundo a empresa, foi imediatamente cortado. A Sinqia afirma que, até o momento, não há evidências de comprometimento de dados pessoais e que contratou especialistas em cibersegurança para investigar o caso.
Golpes financeiros em alta: o Brasil como alvo
O Brasil se consolidou como o principal alvo de trojans bancários na América Latina, representando 61% das detecções de vulnerabilidades na região em 2024, um aumento de cerca de 15% em relação ao ano anterior, segundo o ESET Security Report 2025, um relatório anual da empresa ESET, que se especializa em detecção de ameaças cibernéticas. De acordo com Roberto Panucci, advogado especializado em direito bancário e sócio do escritório Panucci, Severo e Nebias Advogados, a natureza instantânea do Pix facilita a tática de “fatiar” valores, permitindo a transferência rápida antes que as autoridades consigam agir para bloquear as transações. Ele ressalta que “a velocidade do Pix” é uma grande vantagem para usuários legítimos, mas também é um ponto explorado por criminosos em atividades financeiras fraudulentas. Os ataques recentes têm como alvo as instituições e empresas que fazem parte do ecossistema do Pix, não os usuários comuns que realizam transações.
“Os criminosos não hackearam o Pix em si, mas sim alguns dos elos na cadeia de instituições participantes do sistema.”
Entretanto, outros tipos de golpes podem, de fato, impactar diretamente os consumidores que utilizam o sistema de pagamentos instantâneo. Os trojans bancários são softwares maliciosos criados para roubar credenciais financeiras, incluindo logins e senhas de serviços de internet banking, além de explorar transações em tempo real. Esses programas se disseminam através de instaladores falsos e downloads escondidos em sites comprometidos.
Daniel Barbosa, pesquisador de segurança da ESET Brasil, destaca que os ataques refletem tanto a sofisticação dos grupos criminosos locais quanto o apelo do mercado financeiro brasileiro. “O resultado é uma pressão adicional sobre bancos e empresas, que se veem na necessidade de aumentar seus investimentos em segurança digital para preservar a confiança de clientes e parceiros”, afirma Barbosa.
O caminho do dinheiro: o passo a passo da transação Pix
Em conversa com o E-Investidor, Ricardo Mourão, chefe do Departamento de Competição e de Estrutura do Mercado Financeiro do BC, detalhou o passo a passo de uma transação realizada via Pix. O procedimento inicia-se quando o pagador verifica seu aplicativo bancário e informa a chave Pix do destinatário, que pode ser o CPF ou CNPJ, além de e-mails, números de telefone ou uma chave aleatória. O banco responsável pelo usuário verifica se existe saldo disponível e os dados necessários para dar prosseguimento à transação.
Após essa verificação, a ordem de pagamento é enviada à instituição responsável, o Banco Central, mais especificamente ao Diretório de Identificadores de Contas Transacionais (DICT), a base de dados que contém todas as chaves Pix. O DICT confirma as informações do destinatário, assegurando que correspondem a uma conta válida.
Uma vez confirmada a existência da conta de destino, o banco do pagador comunica ao Sistema de Pagamentos Instantâneos (SPI) a intenção de transferir os recursos. O SPI serve como uma infraestrutura central que conecta todas as instituições participantes, facilitando a mediação entre o banco do pagador e o banco do recebedor em questão de segundos. A comunicação com o SPI se dá através da RSFN, uma rede destinada a instituições financeiras. Os participantes diretos possuem acesso à RSFN, enquanto os participantes indiretos dependem da conexão através dos primeiros.
Um exemplo dessa dinâmica é a situação de uma instituição de pagamento que possui uma conta em um banco, configurando-se como um participante indireto. Nesse caso, ela utiliza os serviços do participante direto para operar dentro do ecossistema do Pix. Também existe a alternativa de o participante direto se conectar a um PSTI, uma vez que a conexão direta com a RSFN apresenta custos elevados. “Em algumas situações, o volume de transações não justifica o investimento necessário para manter uma estrutura própria, tornando a adesão a um PSTI uma opção mais vantajosa”, esclarece Mourão.
Após os dados serem transmitidos pela RSFN, o SPI encaminha a transação para a instituição do recebedor, que efetua uma nova verificação das informações, como a existência da conta e a ausência de impedimentos, como suspeitas de fraude. Uma vez validada a transação, o banco aceita a operação.
A liquidação financeira é então realizada de forma imediata: o valor sai da conta da instituição do pagador e é creditado na conta da instituição do recebedor, que, por sua vez, credita o montante ao cliente destinatário. Por fim, todos os envolvidos recebem uma confirmação da conclusão da transferência.
As novas medidas de segurança do Banco Central
No mês de setembro, o BC anunciou novas diretrizes para aumentar a segurança do sistema financeiro. A principal mudança imediata foi a criação de um teto de R$ 15 mil para transferências por meio do Pix e da Transferência Eletrônica Disponível (TED), envolvendo certos tipos de participantes considerados de maior risco.
Essa limitação se aplica a duas categorias específicas: instituições de pagamento não autorizadas pelo BC e instituições que se conectam ao sistema financeiro através de PSTIs, em vez de por conexão direta própria. Os prestadores de serviços de tecnologia também terão que passar por controles mais rigorosos de governança e segurança, sendo exigido um capital mínimo de R$ 15 milhões. Essa nova norma entrou em vigor imediatamente, e os PSTIs em operação têm um prazo de até quatro meses para se adequar.
Panucci explica que essas medidas não provocarão mudanças significativas para os usuários comuns do Pix, exceto para aqueles que tentarem realizar uma transação acima do limite de R$ 15 mil nas instituições de pagamento não autorizadas ou que operam por meio de PSTIs. Ele acredita que essas regras, embora não representem o “fim da linha” na luta contra as fraudes no Pix, atacam pontos críticos identificados atualmente e devem reduzir consideravelmente os riscos imediatos. “Entretanto, dada a natureza dinâmica do crime organizado, é provável que novas ações precisem ser implementadas no futuro”, pondera.
Para Hoffmann, CEO da PagBrasil, essas novas medidas de segurança poderiam ter contribuído para evitar os recentes ataques cibernéticos ao Pix. Ele observa que é fácil criticar o BC de maneira retroativa, mas que vulnerabilidades podem ocorrer. Ele reitera que, de forma geral, o sistema apresenta um elevado nível de segurança.
No final do último mês, o BC anunciou mais mudanças no sistema. Entre elas, foi ampliado o prazo para que instituições excluídas do Pix possam solicitar uma nova adesão, passando de 12 para 60 meses. Outra novidade é que agora os participantes do sistema têm a autonomia de estabelecer limites de valor por transação com base exclusivamente no perfil de risco e no comportamento individual de cada cliente, sem a obrigatoriedade de adotar o mesmo limite aplicado à TED.
A partir de outubro, aplicativos de instituições financeiras também passaram a contar com um botão de contestação do Pix, destinado a casos de fraude, golpe e coerção. Essa ferramenta pode ser acionada pelos clientes de maneira totalmente digital, com o intuito de aumentar a agilidade no bloqueio de recursos nas contas dos golpistas.
Fonte: einvestidor.estadao.com.br
