PIX Sob Ataque: Criminosos Roubam R$ 2 Bilhões

Hackers atacam sistema de pagamentos brasileiro e expõem vulnerabilidades críticas na infraestrutura financeira nacional, forçando Banco Central a implementar medidas emergenciais de segurança

Uma onda devastadora de ataques cibernéticos ao sistema de pagamentos brasileiro vem expondo fragilidades graves na infraestrutura financeira nacional. Desde julho de 2025, criminosos conseguiram desviar aproximadamente R$ 2 bilhões através de invasões coordenadas que miraram empresas conectadas ao sistema PIX do Banco Central.
A escalada de ataques começou com a invasão aos sistemas da C&M Software em julho, quando hackers desviaram mais de R$ 1 bilhão das contas reservas mantidas no Banco Central. Em agosto, criminosos atacaram novamente, desta vez mirando a Sinqia e desviando aproximadamente R$ 710 milhões. A série de ataques continuou em setembro, com pelo menos dois novos episódios, incluindo uma invasão que resultou no desvio de R$ 4,9 milhões da fintech gaúcha Monbank.
O comportamento dos criminosos revela uma sofisticação preocupante, explorando vulnerabilidades no sistema de mensageria que conecta instituições financeiras ao PIX. Os ataques não afetaram diretamente os depósitos de pessoas físicas, mas sim as contas reservas que bancos e instituições mantêm no Banco Central para cumprir exigências legais e garantir a liquidez do sistema financeiro. Diante da gravidade da situação, o Banco Central anunciou medidas emergenciais na sexta-feira (5 de setembro), incluindo a imposição de limites de R$ 15 mil para TEDs e PIX de instituições não autorizadas.

Como Criminosos Invadiram o Sistema

Os ataques cibernéticos ao sistema PIX seguem um padrão específico que explora as vulnerabilidades na infraestrutura de mensageria que conecta diferentes instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB). Criminosos identificaram que era possível atacar diretamente as contas de reserva mantidas no Banco Central, aproveitando-se de falhas nos mecanismos de autenticação e controle das empresas prestadoras de serviços tecnológicos.

O primeiro grande ataque, ocorrido em 2 de julho contra a C&M Software, revelou uma brecha crítica no sistema. A empresa, que conecta 22 bancos, cooperativas e sociedades de crédito ao ecossistema PIX, teve seus sistemas comprometidos através de um funcionário interno que vendeu credenciais de acesso por R$ 15 mil. Esta ameaça interna permitiu que hackers acessassem diretamente as contas reservas e transferissem mais de R$ 1 bilhão, convertendo posteriormente os valores em criptomoedas.

O segundo ataque de grande escala, realizado em 29 de agosto contra a Sinqia, seguiu padrão similar, demonstrando que as vulnerabilidades identificadas no primeiro episódio não foram adequadamente sanadas. Especialistas apontam que existe uma fragilidade estrutural no processo de mensageria que permite esses ataques, relacionada à forma como as instituições estruturam seus controles e mecanismos de autenticação.

Falhas de Segurança Reveladas

A análise dos ataques revela que o sistema não se tornou mais vulnerável com o tempo, mas que brechas existentes foram identificadas por criminosos e não foram adequadamente corrigidas, estimulando novas tentativas de invasão. Especialistas explicam que não basta contar apenas com senha ou autenticação em dois fatores, sendo necessário adotar camadas mais robustas de segurança, incluindo VPNs dedicadas, criptografia de dados, assinaturas digitais e múltiplas etapas de validação.

Especialistas destacam que o segundo ataque demonstrou que as vulnerabilidades não foram sanadas após o primeiro episódio, sugerindo ainda a possibilidade de outros ataques já planejados em paralelo. A repetição dos padrões de ataque evidencia falhas persistentes na arquitetura de segurança do sistema, principalmente no que se refere às empresas prestadoras de serviços tecnológicos que fazem a intermediação entre instituições financeiras menores e o Banco Central.

Os criminosos conseguiram explorar o fato de que muitas transações, especialmente nos ajustes de contas, não precisam ser liquidadas de forma instantânea – as do PIX levam geralmente dez segundos para serem efetivadas. Esta janela temporal, combinada com controles inadequados, criou oportunidades para que invasores realizassem transferências fraudulentas antes que mecanismos de segurança pudessem ser acionados.

Medidas Emergenciais do Banco Central

Diante da escalada dos ataques, o Banco Central implementou uma série de medidas emergenciais anunciadas em 5 de setembro. Entre as principais iniciativas estão a imposição de limites de R$ 15 mil para TEDs e PIX de instituições de pagamento não autorizadas e daquelas que se valem de prestadores de serviços de tecnologia da informação (PSTIs) para realizar as operações.

O BC também estabeleceu um patrimônio mínimo de R$ 15 milhões em caixa para credenciamento das prestadoras de serviço ao sistema e antecipou de dezembro de 2029 para maio de 2026 o prazo para que instituições de pagamento solicitem autorização para operar. Essas medidas visam fortalecer o controle sobre empresas que atuam como intermediárias no sistema de pagamentos brasileiro.

Durante os ataques, o Banco Central adotou protocolos de segurança que incluíram o desligamento temporário do acesso das empresas comprometidas ao Sistema de Pagamentos Brasileiro, resultando na suspensão temporária de operações PIX para clientes de bancos conectados através dessas prestadoras de serviços. A autoridade monetária também suspendeu cautelarmente três instituições financeiras suspeitas de ter recebido recursos desviados nos ataques.

Consequências para Usuários

Os ataques geraram instabilidade temporária no sistema de pagamentos brasileiro, com milhões de usuários enfrentando dificuldades para realizar transações PIX durante os períodos de suspensão das operações. Embora os depósitos de pessoas físicas não tenham sido diretamente afetados, a interrupção dos serviços demonstrou a interdependência crítica do sistema financeiro nacional.

As invasões revelaram que criminosos organizados estão desenvolvendo capacidades técnicas sofisticadas para atacar a infraestrutura financeira brasileira, aproveitando-se de vulnerabilidades em empresas de tecnologia que prestam serviços para bancos menores. O Banco Central identificou que o crime organizado tem relação com estes ataques, indicando um nível de organização e planejamento que vai além de ações isoladas.

A sucessão de ataques também expôs a dependência do sistema financeiro brasileiro de empresas prestadoras de serviços tecnológicos, muitas das quais operavam sem supervisão adequada ou controles de segurança robustos. Esta descoberta forçou uma reavaliação da arquitetura regulatória do sistema de pagamentos nacional.

Principais Envolvidos nos Ataques

• C&M Software: Empresa de tecnologia que conecta instituições financeiras ao Sistema de Pagamentos Brasileiro, foi alvo do primeiro grande ataque em julho de 2025
• Sinqia: Segunda empresa atacada em agosto, resultando no desvio de aproximadamente R$ 710 milhões
• Sistema de Pagamentos Brasileiro (SPB): Infraestrutura operada pelo Banco Central que inclui o ambiente PIX
• Contas Reservas: Depósitos compulsórios que instituições financeiras mantêm no Banco Central para cumprir exigências legais
• PSTIs: Prestadores de Serviços de Tecnologia da Informação que fazem intermediação entre bancos e o sistema de pagamentos
• ITPs: Iniciadores de Transações de Pagamentos, categoria de empresas que também foi alvo das novas regulamentações
• Sistema de Mensageria: Infraestrutura que permite a comunicação entre diferentes instituições no sistema PIX
• Crime Organizado: Banco Central identificou envolvimento de organizações criminosas nos ataques ao sistema