Ataque com PIX de R$ 800 milhões expõe falhas críticas no sistema bancário

O maior ataque hacker já registrado contra o sistema financeiro brasileiro começou de forma quase imperceptível, com um PIX de R$ 18 milhões realizado durante a madrugada. A operação, que rapidamente escalou para cerca de R$ 800 milhões desviados de diversas instituições financeiras e fintechs, expôs vulnerabilidades estruturais na interface entre bancos e o Banco Central (BC), deixando o mercado em alerta e reacendendo debates sobre a segurança digital da infraestrutura de pagamentos no país.

O epicentro da fraude foi uma brecha nos sistemas de mensageria operados por uma fornecedora terceirizada, a C&M Software, responsável por integrar instituições ao sistema do BC. A partir dessa falha, os invasores conseguiram emitir ordens legítimas de transferência diretamente às chamadas “contas reserva” — que concentram recursos dos bancos e de seus clientes — sem que houvesse qualquer invasão direta nos sistemas do Banco Central. O ataque foi silencioso e sofisticado: os comandos pareciam autênticos e atravessaram as camadas de segurança como se fossem rotinas normais.

Embora a C&M tenha desativado o acesso ao PIX assim que o ataque foi identificado, os danos já eram significativos. Só a BMP, uma das empresas atingidas, sofreu um prejuízo de R$ 400 milhões, dos quais apenas R$ 130 milhões foram recuperados até o momento. A empresa afirma que os clientes não serão afetados, mas admite que a perda pode comprometer sua capacidade de operação, caso o restante dos recursos não seja reavido. O episódio evidenciou a fragilidade dos elos intermediários entre fintechs, bancos médios e o sistema regulador.

Para Luiz Guardieiro, diretor de Receita da Portão 3 (P3), o caso escancara um ponto cego na arquitetura do sistema de pagamentos instantâneos. “Ao mesmo tempo em que o PIX se consolidou como uma das inovações mais bem-sucedidas da história recente do setor financeiro, ele também ampliou exponencialmente os riscos operacionais. A confiança depositada em prestadores de serviços tecnológicos — os chamados PSTIs — não foi acompanhada por mecanismos de monitoramento e resposta à altura da complexidade e volume das transações processadas”, afirma.

O Banco Central já abriu investigação e promete endurecer as regras de integração e autenticação entre sistemas. Mas, segundo a Guardieiro, o episódio deixa uma lição clara: na era dos pagamentos instantâneos, velocidade sem blindagem pode se tornar um risco sistêmico. “A confiança dos usuários e a estabilidade do setor dependem, cada vez mais, de uma segurança digital que não seja apenas eficiente — mas também à prova de criatividade criminosa”, disse ele.