Megaataque hacker a plataforma do Pix expõe R$ 670 milhões e falhas no sistema

Mais de R$ 670 milhões foram desviados em um ataque hacker de grandes proporções que atingiu a Sinqia, empresa responsável por conectar bancos ao sistema de pagamentos Pix, numa sexta-feira que já entrou para a história dos crimes digitais no Brasil. O ataque expôs fragilidades na proteção de intermediários entre bancos e o Banco Central (BC), reacendendo o debate sobre a necessidade de reforçar os mecanismos de supervisão e segurança no ecossistema financeiro nacional.

O leitor vai entender neste artigo os desdobramentos do megaataque, quem foram as principais vítimas, a atuação das autoridades na contenção do crime, além dos riscos sistêmicos e lições que os recentes episódios colocam na mesa para o setor bancário e os consumidores do Pix. Siga na leitura e veja por que esse alerta não pode ser ignorado pelo Brasil em 2025.

Como ocorreu o ataque hacker contra financeira do Pix

O roubo milionário teve como alvo a Sinqia, companhia que serve como elo entre as instituições financeiras e o sistema Pix. Segundo fontes do setor, os criminosos conseguiram desviar impressionantes R$ 670 milhões, sendo R$ 630 milhões do HSBC e R$ 40 milhões da Artta, uma sociedade de crédito direto. Houve ainda tentativas frustradas de desviar valores superiores a R$ 1 bilhão, bloqueadas em tempo real graças à intervenção do Banco Central.

O episódio traz à tona um padrão preocupante: trata-se do segundo caso similar em três meses, recordando o ataque contra a C&M Software, que, em julho, também sofreu golpe que resultou no desvio de R$ 800 milhões. Em ambos, a porta de entrada não foi o sistema Pix em si, mas provedores terceirizados, peças-chave na estrutura bancária digital.

Leia também: Advogado que desvendou fraudes em descontos do INSS depõe na CPMI

Impacto sobre bancos, fintechs e correntistas

As instituições mais afetadas agiram rápido no bloqueio e rastreamento das fraudes. Do montante subtraído, R$ 366 milhões já foram recuperados. Tanto o HSBC quanto a Artta afirmam que os recursos desviados estavam ligados ao sistema de liquidação interbancária, sem impacto direto nas contas dos correntistas. Em nota, o HSBC destacou que a integridade dos saldos dos clientes não foi comprometida e que medidas emergenciais para barrar a continuidade das fraudes foram adotadas.

Já a Sinqia declarou que está reconstruindo completamente seu ambiente digital, sob regras mais rígidas e com acompanhamento do Banco Central, o qual só vai permitir a volta das operações quando todas as validações técnicas forem superadas.

Leia também: Mercado revê para baixo inflação e dólar e eleva projeção do PIB para 2025 e 2026

Bancos de dados vulneráveis e desafios da supervisão

Especialistas ressaltam que os golpes revelam lacunas sérias não só na segurança cibernética, mas sobretudo na regulação e supervisão de fornecedores de tecnologia que operam no sistema Pix. O advogado Aylton Gonçalves classifica como “urgente” o avanço das normas e da vigilância sobre esses intermediários, já que muitos bancos e fintechs dependem quase exclusivamente da infraestrutura de um grupo restrito desses provedores.

Além dos riscos tecnológicos, há obstáculos internos que afetam o BC. O órgão convive hoje com limitação de pessoal, orçamento restrito e falta de mecanismos para remunerar equipes que monitoram o sistema 24 horas por dia, sete dias por semana, o que dificulta o controle de anomalias tão volumosas.

Motivos para a repetição de ataques

O crescimento acelerado das operações via Pix (270 milhões de transações diárias no país, movimentando cerca de R$ 130 bilhões) cria campo fértil para criminosos, que tiram vantagem do grande fluxo e da atenção dividida dos sistemas de segurança. Casos recentes evidenciam que a concentração de serviços críticos em poucos players aumenta as possíveis brechas. Segundo Renato Cunha, especialista no tema, “os criminosos já entenderam como funcionam os modelos operacionais dessas empresas, e por isso a tendência é buscarem novos alvos similares”. No entanto, ele reforça que não houve acesso aos dados dos clientes ou invasão do sistema Pix gerido pelo BC, mas uma atuação maliciosa através das conexões de terceiros.

Como o Banco Central reage e quais medidas estão em discussão

O Banco Central mantém grupos de trabalho para rever normas, protocolos e exigir padrões ainda mais rigorosos de cibersegurança, incluindo novas exigências técnicas nos contratos entre bancos e fornecedores. Arthur Igreja, especialista em inovação, observa que “a reputação e a segurança do sistema financeiro dependem de desafios cada vez maiores”. Ainda assim, a alternativa de cada instituição manter conexão direta ao BC esbarra nos custos e inviabilidade para pequenos bancos e fintechs.

Especialistas sugerem que o ideal seria investir em um modelo híbrido, com reforço dos protocolos de criptografia, monitoramento em tempo real e adoção intensiva de autenticação digital, além de ampliar a força de trabalho dedicada à supervisão do ambiente Pix.

Fica claro que 2025 será um ano decisivo para a elevação do patamar das regras de proteção, seja por pressão do mercado, seja por mudanças determinadas pelo BC.

Leia também: Descontos ilegais no INSS: Advogado Eli Cohen faz revelações à CPMI

O episódio da Sinqia reforça a necessidade urgente de fortalecer a fiscalização, ampliar padrões técnicos de segurança e acelerar a renovação dos sistemas utilizados pelo setor financeiro para conter o avanço dos cibercrimes. Em um cenário no qual o Pix já faz parte do dia a dia dos brasileiros, proteger a confiança do público é fundamental para o futuro das transações digitais no país.

Se você achou esta análise esclarecedora e quer receber outras notícias e conteúdos exclusivos sobre fraudes digitais, segurança financeira e Pix, inscreva-se em nossa newsletter!