Uma sequência de invasões a contas de reserva de instituições que fazem a ponte entre bancos e o Pix reacendeu a preocupação com a proteção do sistema financeiro brasileiro. Desde julho, ao menos quatro ataques foram registrados, dois deles resultando no desvio de aproximadamente R$ 2 bilhões.
R$ 1 bilhão em julho e R$ 710 milhões em agosto
No início de julho, criminosos subtraíram mais de R$ 1 bilhão ao explorar vulnerabilidade na troca de mensagens do Pix. Em 29 de agosto, outro golpe desviou R$ 710 milhões, repetindo o mesmo procedimento. Ainda em setembro ocorreram dois novos ataques, mas nenhum deles conseguiu retirar recursos atrelados ao sistema de pagamentos instantâneos.
Medidas anunciadas pelo Banco Central
Diante dos incidentes, o Banco Central divulgou, na sexta-feira (5), um pacote de medidas. Entre elas estão:
- limite de R$ 15 mil para operações via TED ou Pix realizadas por instituições de pagamento sem autorização do BC ou que usem prestadores de serviços de tecnologia da informação (PSTIs);
- exigência de caixa mínimo de R$ 15 milhões para credenciamento de prestadores de serviço;
- antecipação do prazo para que instituições de pagamento solicitem autorização, de dezembro de 2029 para maio de 2026.
Especialistas apontam falha na mensageria
Para Juan Ferrés, sócio da plataforma de automação Teros, a vulnerabilidade está no processo de mensageria que conecta o Pix. Ele defende a adoção de camadas adicionais de segurança, como VPNs dedicadas, criptografia, assinaturas digitais e múltiplas etapas de validação.
Ferrés observa que muitas transferências, principalmente os ajustes de contas, não precisam ser liquidadas em poucos segundos. Segundo ele, definir cenários de uso diferenciados pode facilitar a criação de controles mais robustos e impedir novas fraudes.
Repetição de ataques indica brechas não corrigidas
Pedro Magalhães, sócio da fintech de pagamentos em criptomoedas Pixley, afirma que o ataque a uma instituição conhecida como C&M em julho expôs falhas que permaneceram abertas. O golpe contra a Sinqia em 29 de agosto teria seguido o mesmo padrão, sugerindo que outras ofensivas já estariam em preparação.
Fintechs de crédito também sofreram tentativas de fraude
Entre 2 e 4 de setembro, dois novos episódios atingiram fintechs de crédito. Na terça-feira (2), a Monetarie teve R$ 4,9 milhões desviados; R$ 4,7 milhões foram recuperados ainda no mesmo dia. Quando o acesso via Pix foi bloqueado, os invasores migraram para o sistema de TED para concluir as transferências.
Imagem: Bruno Peres
Na quinta-feira (4), outra fintech, não identificada, foi alvo de tentativa semelhante. Embora não tenha havido perda financeira nem vazamento de dados, a empresa suspendeu temporariamente a geração de query code do Pix.
Punição e padrões mínimos mais rigorosos
Magalhães ressalta que a identificação e responsabilização dos hackers é crucial, pois a impunidade aumenta o atrativo econômico dos golpes. Ele critica ainda a falta de controles de acesso mais sofisticados e de protocolos adequados de custódia de chaves digitais em parte das empresas conectadas ao Pix.
Ferrés descarta ausência de regulação, mas aponta a fragmentação do arcabouço criado pelo BC como fator que reduziu barreiras de entrada para agentes pouco preparados. Para ele, a solução passa por exigir padrões mínimos semelhantes aos adotados no Open Finance, que utiliza um Ponto Central de Mensageria para monitorar transações em tempo real e aplicar travas automáticas.
Com informações de Gazeta do Povo
