Por Redação Rádio Pampa | 21 de setembro de 2025
A tentativa de invadir o sistema da Caixa Econômica Federal em 12 de setembro foi apenas mais um dos ataques planejados contra o Pix. Nos últimos dois meses, hackers conseguiram movimentar mais de R$ 1,2 bilhão de instituições financeiras.
No caso do ataque à Caixa, o plano não foi concretizado. A Polícia Federal (PF) prendeu oito pessoas em flagrante, apreendeu um computador roubado do banco e disse que o grupo pode estar envolvido com as fraudes anteriores.
A PF afirmou que o grupo conseguiu um notebook e uma credencial de acesso por meio do gerente de uma agência da Caixa em São Paulo. O inquérito também indica que o banco alertou sobre a roubo do dispositivo.
O método foi parecido com os ataques contra a C&M Software e a Sinqia: bandidos acessaram senhas e sistemas internos para retirar valores das contas reservas das empresas, usadas para processar movimentações financeiras.
Não houve ataque hacker à estrutura do Banco Central nem roubo de dinheiro de contas de clientes dos bancos.
Especialistas ouvidos pelo g1 apontam que os ataques têm se repetido porque o Pix cresceu muito desde sua criação em 2020 e se tornou mais visado por criminosos que buscam brechas de segurança em sistemas; e faltam padrões de segurança mais elevados para todos os integrantes do Pix, além dos bancos mais conhecidos.
A C&M Software e a Sinqia estão entre os seis intermediários que ligam instituições financeiras ao Banco Central. São os chamados Provedores de Serviços de Tecnologia da Informação (PSTI), que viraram alvo dos hackers.
“Quando muitas instituições dependem de um mesmo intermediário, ele se torna um alvo atrativo. A concentração se torna um risco iminente. Há um único ponto de falha”, explicou Nathália Carmo, sócia da consultoria de segurança cibernética IAM Brasil.
Os ataques aproveitaram que a C&M Software e a Sinqia eram conhecidas dos sistemas dos bancos para fazer transações sem muitas barreiras, disse Nathália. Para ela, o monitoramento sobre esses intermediários precisa aumentar.
“Quem deveria manter essa infraestrutura em conformidade é o intermediário. Ele precisa manter a segurança. É algo que foge da responsabilidade do banco”, afirmou.
Após os ataques, o Banco Central decidiu antecipar o prazo para todas as instituições de pagamento serem obrigadas a pedir autorização para continuarem operando. Em vez de dezembro de 2029, o limite agora é maio de 2026.
Uma instituição de pagamento não autorizada consegue operar, mas não segue todas as regras do Banco Central. Dos 936 participantes do Pix, 78 não têm autorização expressa do Banco Central, segundo dados publicados pelo próprio órgão em 17 de setembro.
A expectativa é que, com a exigência da autorização, haja mais controle sobre padrões de segurança das empresas.
“Quando uma instituição é autorizada e está na lupa do BC diariamente, ela tem mais obrigações e precisa melhorar suas políticas de segurança e contra lavagem de dinheiro”, explicou Abdul Assal, diretor de desenvolvimento de negócios da empresa de tecnologia financeira Galileo.
Clique no botão acima para ouvir ao vivo
No Ar: Programa Pampa Na Tarde
