Ataque ao pix escancara brechas na segurança e gera rombo milionário; saiba como se proteger

Na primeira semana de julho de 2025, o sistema instantâneo de pagamentos brasileiro, o PIX, se tornou alvo de um sofisticado ataque cibernético, provocando alarme entre usuários, instituições financeiras e órgãos reguladores. O incidente, considerado o maior já registrado na infraestrutura bancária nacional, concentrou a atenção sobre a segurança digital no Brasil e sobre os riscos de um ecossistema cada vez mais conectado. Estima-se que o prejuízo decorrente da ação tenha alcançado cerca de R$ 540 milhões, impactando diversas empresas e milhares de pessoas físicas.

O Banco Central, diante da dimensão do problema, optou por uma medida severa, mas necessária: suspender o acesso de intermediários como a C&M Software, que atuam no elo entre clientes e grandes bancos. A decisão buscou proteger as operações e evitar que o golpe se alastrasse ainda mais pelo sistema financeiro, enquanto equipes especializadas analisavam as brechas exploradas e tentavam rastrear o caminho do dinheiro desviado. O episódio reacendeu discussões sobre fragilidades do sistema e o papel crucial do constante aprimoramento de protocolos de defesa.

Como ocorreu o ataque ao PIX?

O ataque cibernético ao PIX envolveu técnicas avançadas de invasão, com o objetivo de acessar transações realizadas por meio de intermediadores financeiros. Hackers utilizaram uma combinação de engenharia social e exploração de vulnerabilidades em sistemas de terceiros, especialmente em plataformas autorizadas a operar pagamentos instantâneos por meio de APIs fornecidas pelo Banco Central. Essa ofensiva sofisticada conseguiu burlar proteções e registrar operações ilícitas em uma janela de tempo extremamente curta.

Entre as vítimas destacam-se instituições financeiras de pequeno e médio porte, além de fintechs que utilizam serviços de integração fornecidos por empresas como a C&M Software. Especialistas apontaram que os criminosos digitalizaram padrões de transferência para evitar detecção inicial, transferindo valores em lotes e mascarando os beneficiários finais. Essa ação em larga escala exigiu monitoramento criterioso por parte do Banco Central e a rápida coordenação para interromper fluxos suspeitos.

Ataque à C&M Software

• Empresa-alvo: A principal empresa afetada foi a C&M Software, uma prestadora de serviços que atua como ponte entre bancos (especialmente os menores) e o Sistema de Pagamentos Brasileiro (SPB), que inclui o Pix.
• Vulnerabilidade explorada: O ataque explorou credenciais indevidas, permitindo que os criminosos acessassem contas reservas mantidas pelos bancos no Banco Central.
• Facilitação interna: Um ex-funcionário da C&M Software, João Nazareno Roque, confessou ter vendido suas credenciais (login e senha) por uma quantia em dinheiro, facilitando o acesso dos hackers aos sistemas internos da empresa. Ele também teria recebido dinheiro para criar um sistema de acesso para os criminosos.
• Desvio de recursos: Os hackers conseguiram enviar valores de forma fraudulenta dessas contas reservas para outras contas, muitas delas usadas como “laranjas” para pulverizar o dinheiro.

Impacto e Resposta do Banco Central

• Não afetou clientes finais: O Banco Central e as instituições envolvidas afirmaram que o ataque não afetou diretamente as contas de clientes finais (pessoas que usam o Pix para suas transações diárias). O foco foi nas contas reservas das instituições financeiras.
• Valores desviados: As estimativas iniciais do prejuízo variam, mas fontes do mercado indicam que o desvio pode ter chegado a valores significativos, possivelmente na casa dos centenas de milhões ou até bilhões de reais.
• Suspensão de instituições: O Banco Central suspendeu cautelarmente diversas instituições financeiras do Pix (incluindo Voluti Gestão Financeira, Brasil Cash, S3 Bank, Transfeera, Soffy, Nuoro Pay e Creditag) por suspeita de terem recebido recursos desviados ou por estarem envolvidas de alguma forma no incidente.
• Mecanismos de recuperação: O Pix possui mecanismos como o Mecanismo Especial de Devolução (MED) e o Bloqueio Cautelar, que permitiram que uma parte dos valores fosse bloqueada e recuperada. No entanto, a velocidade e a articulação do crime dificultaram a recuperação total.
• Investigações: O caso está sendo investigado pela Polícia Federal, Polícia Civil de São Paulo e o próprio Banco Central.

Quais falhas de segurança o ataque trouxe à tona?

A invasão expôs não apenas vulnerabilidades técnicas, mas também desafios na cadeia de autorização e autenticação do PIX. Um dos principais pontos levantados foi a dependência de terceiros para viabilizar operações, ampliando a superfície de ataque e dificultando o controle centralizado sobre permissões de acesso. A existência de múltiplas camadas na comunicação entre clientes, intermediadores e bancos tradicionais dificultou a detecção precoce da fraude.

• Adoção desigual de mecanismos de autenticação em duas etapas
• Falta de padronização nas rotinas de monitoramento
• Ausência de limites rigorosos para transações em alguns perfis de contas
• Deficiências em protocolos de resposta a incidentes

Outro aspecto crítico identificado foi a velocidade com que as operações via PIX são realizadas. Embora apresente benefícios evidentes para usuários finais, a instantaneidade do sistema dificulta o bloqueio de transferências fraudulentas em tempo real, aumentando significativamente o potencial de prejuízo em situações de ataque coordenado.

Como se proteger em meio a ataques ao PIX?

Para se proteger e manter seu dinheiro seguro, siga estas dicas essenciais:

• Fique atento a golpes de engenharia social:
  • Não clique em links suspeitos: Golpistas frequentemente enviam links falsos por e-mail, SMS ou aplicativos de mensagens, que levam a sites fraudulentos idênticos aos de bancos. Sempre verifique o remetente e o endereço do link antes de clicar. Se tiver dúvidas, digite o endereço do seu banco diretamente no navegador.
  • Desconfie de ofertas muito vantajosas: Promoções, prêmios ou investimentos com retornos “garantidos” e muito acima do mercado são iscas comuns. Lembre-se do ditado: “Quando a esmola é demais, o santo desconfia.”
  • Não compartilhe dados pessoais ou bancários: Seu banco nunca pedirá sua senha, código de segurança ou outros dados confidenciais por telefone, e-mail ou mensagem. Se alguém pedir, é golpe.
  • Cuidado com a “central de atendimento falsa”: Golpistas podem ligar se passando pelo seu banco, informando sobre uma suposta transação suspeita e pedindo para você realizar um PIX para “cancelá-la” ou “regularizar a situação”. Desligue a ligação e entre em contato diretamente com seu banco pelos canais oficiais.
• Use a tecnologia a seu favor:
  • Mantenha seu aplicativo do banco atualizado: As atualizações geralmente incluem melhorias de segurança que protegem você contra novas ameaças.
  • Utilize senhas fortes e únicas: Crie senhas complexas, com letras maiúsculas e minúsculas, números e símbolos. Evite usar a mesma senha para diferentes serviços.
  • Ative a autenticação de dois fatores (2FA): Muitos bancos oferecem essa camada extra de segurança. Com o 2FA, além da senha, você precisará de um segundo código (enviado por SMS, aplicativo gerador de códigos, etc.) para acessar sua conta ou realizar transações.
  • Instale um antivírus confiável: Mantenha seu celular e computador protegidos contra malwares que podem roubar suas informações.
• Ao fazer um PIX:
  • Confirme os dados do recebedor: Sempre verifique o nome completo e o CPF/CNPJ do recebedor antes de confirmar a transação. Muitos golpes dependem da sua falta de atenção nesse momento.
  • Limites de valores: Ajuste os limites diários e noturnos do seu PIX para valores que você considera seguros. Em caso de fraude, o prejuízo será menor.
  • Evite fazer PIX para desconhecidos: Seja cauteloso ao enviar dinheiro para pessoas ou empresas que você não conhece ou confia.

Quais as consequências e as próximas ações para a segurança do PIX?

O prejuízo milionário registrado após o ataque provocou a reavaliação urgente dos critérios para habilitação de intermediadores financeiros, levando a medidas cautelares determinadas pelo Banco Central, como a suspensão imediata do acesso à plataforma PIX por parte de empresas consideradas vulneráveis. Ao mesmo tempo, bancos e fintechs foram orientados a intensificar políticas internas de monitoramento e investimento em cibersegurança.

Está em discussão a implementação de novos limites provisórios para transações via PIX, especialmente para contas recém-criadas ou pertencentes a empresas que estejam fora de padrões de conformidade estritos. O fortalecimento das práticas de análise comportamental para identificar operações fora do perfil do usuário passou a ser fundamental, assim como a integração de bancos de dados antifraude em tempo real.

1. Revisão das permissões concedidas a parceiros e intermediadores
2. Criação de protocolos automáticos de contenção de riscos
3. Capacitação constante das equipes de TI para identificar novas ameaças
4. Campanhas educativas para conscientização dos usuários sobre cuidados digitais

Após o ataque, especialistas indicam que a confiança no PIX depende de ação conjunta entre reguladores, setor bancário e tecnologia da informação. O investimento em infraestrutura robusta e o diálogo transparente com a população são vistos como pilares para a continuidade do sistema, que permanece essencial para a economia digital do Brasil.