Banco Central endurece regras para fintechs após ataques ao Pix e impõe tetos para transferências

alt
Romiro Ribeiro 6 setembro 2025

Banco Central endurece regras após ataques ao Pix

Em poucas horas, criminosos tentaram movimentar R$ 710 milhões por um canal que milhões de brasileiros usam todos os dias. O alvo não foram correntistas, mas a engrenagem por trás do sistema. A resposta veio rápido: o Banco Central (BC) prepara um pacote de medidas que muda a rotina de bancos, fintechs e fornecedores de tecnologia, com limites máximos para transferências e regras operacionais mais duras.

O gatilho foi o ataque de 29 de agosto de 2025. Hackers usaram credenciais comprometidas de um fornecedor de TI para acessar sistemas da Sinqia, empresa que conecta instituições financeiras ao ecossistema de pagamentos e é controlada pela Evertec. A partir daí, miraram operações envolvendo duas instituições de grande porte: HSBC e Artta. Foi uma ação sofisticada de cadeia de suprimentos — sem invadir diretamente os bancos, os criminosos tentaram explorar o elo intermediário.

Segundo o Ministério da Fazenda, por meio do secretário-adjunto Fábio Silveira, o plano do BC inclui tetos por transação tanto no Pix, hoje o meio de pagamento mais utilizado no país, quanto no TED, o sistema mais antigo. Os limites valerão para pessoas físicas e jurídicas. A lógica é simples: se uma transferência muito grande não puder ocorrer de uma vez, o fracionamento cria uma trilha mais evidente para os mecanismos de monitoramento, facilitando a identificação de padrões atípicos e a interrupção de fraudes em tempo real.

O pacote regulatório vai além do valor por operação. O BC definirá padrões mínimos de operação para fintechs e para os fornecedores que prestam serviços críticos ao sistema financeiro. O foco está em governança de terceiro e segurança cibernética: gestão rígida de acessos e credenciais, autenticação multifator para ambientes sensíveis, segregação de redes e ambientes de produção, registro e retenção de logs, testes periódicos de intrusão e planos de continuidade que permitam isolar rapidamente incidentes sem paralisar o sistema inteiro.

No caso Sinqia, a empresa ativou seu plano de resposta a incidentes, suspendeu o processamento de transações de Pix e chamou peritos forenses. O Banco Central, por sua vez, barrou a retomada do processamento no SPB (Sistema de Pagamentos Brasileiro) e no Pix até que as ações corretivas sejam comprovadas e aprovadas pelos reguladores. As polícias federal e estaduais foram acionadas ainda nas primeiras horas, e parte dos recursos foi localizada e bloqueada, com procedimentos de devolução em curso. Até aqui, não há evidências de vazamento de dados de clientes.

Para o usuário comum, a expectativa é que os novos tetos não afetem pagamentos do dia a dia — contas, compras, transferências entre familiares — que, em geral, têm valores modestos. Já empresas que realizam operações de maior monta devem se preparar para verificações adicionais, janelas de aprovação e, em alguns casos, o uso de trilhas operacionais específicas para pagamentos corporativos, com camadas extras de autenticação e validação.

O desenho dos limites é um ponto sensível. O BC terá de calibrar faixas por perfil de cliente, tipo de operação e canal de origem, sem estrangular o fluxo legítimo. O histórico recente mostra caminhos: quando ampliou controles de risco no Pix no passado, a autoridade combinou limites com mecanismos dinâmicos de ajuste e a possibilidade de elevação mediante solicitação do cliente. A diferença agora é que os tetos tendem a ser mais rígidos para coibir transações fora da curva em janelas curtas de tempo.

Outra frente é a padronização do que os reguladores chamam de requisitos de resiliência operacional. Na prática, isso inclui: processos formais de avaliação de risco de terceiros; contratos com cláusulas de segurança e auditoria; monitoramento contínuo de provedores críticos; rotação e guarda de chaves de acesso; políticas de privilégio mínimo; e exercícios regulares de mesa (tabletop) para treinar a resposta integrada entre bancos, fintechs e seus fornecedores. Instituições terão de demonstrar aderência com evidências — relatórios de auditoria independente, métricas de tempo de resposta e indicadores de continuidade.

O caso também reacende a discussão sobre telemetria e análise comportamental. Com limites mais baixos por transação, os fraudadores tendem a fatiar valores e distribuir alvos. Isso exige modelos mais granulares, capazes de correlacionar múltiplas tentativas em curto espaço de tempo, cruzar dispositivos, origens de IP, horários e recorrência de beneficiários. As instituições que já operam centros de operações de segurança 24/7 saem na frente; quem ainda depende de alertas manuais precisará acelerar a automação.

Há um componente de coordenação que faz diferença: a cooperação interbancária. O Mecanismo Especial de Devolução (MED), criado para dar rumo às devoluções em caso de fraude, ganha protagonismo junto com bloqueios preventivos e notificações imediatas entre instituições. Tempo de resposta importa. Nos maiores casos de desvio, quando a primeira hora funciona, a recuperação sobe de patamar; quando trava, o rastro esfria e o dinheiro se perde em camadas de laranjas e contas de passagem.

Para as fintechs, o impacto é direto. Investimentos em segurança tendem a subir e o custo de conformidade vai pesar no orçamento — da revisão de contratos com fornecedores à contratação de auditorias externas. Também muda a narrativa comercial: velocidade e conveniência seguem no centro, mas com fricções necessárias em operações de alto valor. Um ponto de atenção é a governança de incidentes: transparência, prazos de comunicação e obrigações de reporte ao regulador ganham dentes.

Os bancos tradicionais veem uma oportunidade de equalizar riscos. Muitos já operam há anos com padrões elevados de segurança física e lógica, e agora esperam que o mesmo nível seja exigido dos novos entrantes e de seus parceiros tecnológicos. No curto prazo, porém, todo o mercado ajusta fluxos internos, reavalia integrações e reforça testes de resiliência para evitar surpresas, especialmente em integrações com hubs de pagamentos e gateways.

O Brasil virou vitrine mundial de pagamentos instantâneos desde 2020. A escala é imensa, e o apetite do crime organizado acompanha. O BC trata o momento como de vigilância elevada: a adoção massiva do Pix, somada à abertura de dados do Open Finance, cria uma superfície de ataque maior, com ganhos também maiores para quem encontra uma brecha. O pacote atual é a ação mais contundente até agora para fechar portas em um ambiente que usa tempo real como regra e não como exceção.

Ficam perguntas em aberto. Quais serão os tetos por tipo de cliente? Haverá exceções setoriais — por exemplo, para varejistas com alto volume — ou janelas horárias com regras diferentes? Como funcionará a elevação de limites mediante solicitação e qual será o tempo de resposta? E, ponto chave, como o BC vai harmonizar as exigências para que empresas não migrem, por conveniência, para canais menos seguros em busca de liquidez instantânea?

O ataque à Sinqia e o risco do elo mais fraco

O ataque à Sinqia e o risco do elo mais fraco

O episódio envolvendo a Sinqia ilumina um risco que o setor conhece bem: a cadeia de fornecedores. As credenciais de um parceiro de TI abriram caminho para um ataque que tentou escalar rapidamente valores em trânsito. É o retrato clássico de risco de supply chain: o invasor não precisa derrubar a muralha principal se conseguir entrar por uma porta de serviço. A resposta regulatória mira justamente esse ponto, tornando obrigatórios controles que, muitas vezes, ficavam como “boas práticas”.

Entre os controles que ganham status de obrigação, destacam-se a revisão contínua de acessos privilegiados, a segmentação de redes (para que ambientes de testes e produção não se contaminem), o uso de cofres de senhas e chaves, a validação forte de identidade de usuários e máquinas, e a limitação de integrações ponto a ponto sem camadas de mediação e observabilidade. Na prática, mais camadas de defesa e menos dependência de um único fornecedor para funções críticas.

O caso também mostra que incidentes de grande escala nem sempre nascem de falhas no banco final. Muitas vezes, o problema está no elo intermediário — hubs, gateways, processadoras. Por isso, o BC quer padronizar o que significa ser “crítico” no ecossistema de pagamentos e amarrar essa classificação a requisitos proporcionais de segurança, disponibilidade e governança. Para as empresas, isso implica revisitar o mapa de integrações, classificar riscos por criticidade e priorizar mitigação onde o potencial de dano é maior.

No front policial, a investigação corre em múltiplas frentes. O objetivo é identificar as células que coordenaram o ataque, rastrear os fluxos de valores e chegar às contas de destino finais. Parte do dinheiro já foi recuperada, e outras quantias seguem em disputa judicial e administrativa, amparadas pelas regras de devolução e bloqueio do sistema. O sucesso dessas ações costuma depender do sincronismo entre bancos, regulador e autoridades — e de boletins de ocorrência rápidos para dar base legal aos bloqueios.

O próximo passo regulatório é a validação das correções propostas pelas empresas diretamente afetadas e a publicação das normas que darão forma aos limites e aos padrões mínimos operacionais. Até agora, o BC não divulgou valores específicos nem prazos, mas já sinalizou que a prioridade é reduzir a superfície de ataques de alto impacto sem comprometer a experiência de pagamento que consolidou a preferência do público pelo instantâneo.

Lá fora, reguladores acompanham. A experiência brasileira com pagamentos em tempo real e open banking serve de laboratório para quem está expandindo sistemas instantâneos. O êxito — ou não — dos tetos e dos novos requisitos pode influenciar a forma como Europa, Ásia e vizinhos latino-americanos calibram suas próprias regras de segurança e continuidade.

O recado, por ora, é claro: o sistema segue funcionando, mas com freios mais firmes em operações de grande valor. O dinheiro tem de circular. Só não pode correr mais rápido do que a capacidade de enxergar quando algo está errado.

Tags:

14 Comentários

  • Image placeholder

    Leonardo López Guillén

    setembro 8, 2025 AT 09:51
    Poxa, finalmente algo que faz sentido! Limitar transações não é inibir, é proteger. Se você vai transferir R$500 mil, tem que ter mais camadas de segurança. É lógico. O Pix é incrível, mas não pode ser uma porta de entrada pra ladrão. 🙌
  • Image placeholder

    Paulo Garcia

    setembro 10, 2025 AT 00:55
    O BC tá agindo como se fosse o policial que chega depois do assalto e põe cadeado na porta. O dano já foi feito. E agora querem obrigar todas as fintechs a virar banco? Isso é burocracia disfarçada de segurança. O mercado já tá caro demais, agora vai ficar pior. Eles não entendem que o problema tá no elo fraco, não no sistema.
  • Image placeholder

    Hálen Yuri Oliveira

    setembro 11, 2025 AT 06:47
    cara, se vc é empresa e faz mt transferencia, isso vai te matar. tipo, eu tenho um negocio de importação e preciso pagar fornecedor em 5 min. agora vou ter q esperar 3 dias pra aprovar? o sistema ta ficando lento demais. o pix era pra ser rapido, nao pra virar um burocrata com 7 assinaturas.
  • Image placeholder

    Ayrton de Lima

    setembro 12, 2025 AT 12:30
    A verdadeira tragédia não é o ataque à Sinqia - é a nossa cegueira coletiva diante da arquitetura frágil que construímos como se fosse um castelo de cartas em um furacão. A segurança não é um módulo adicional, é o alicerce. E quando você delega a confiança a um terceiro sem auditoria contínua, você não está inovando - você está apenas empurrando o caos para a próxima camada da cadeia. O BC não está sendo rígido. Ele está apenas tentando evitar que o sistema inteiro desabe como um dominó.
  • Image placeholder

    Cheryl Ferreira

    setembro 14, 2025 AT 02:27
    É importante lembrar que a regulação não é inimiga da inovação - é o seu contrapeso. O Pix revolucionou o Brasil, mas revoluções sem estrutura se tornam caos. Os limites não são para punir, são para equilibrar. E a exigência de logs, autenticação multifator e isolamento de ambientes? Isso não é burocracia. É profissionalismo. Quem não está preparado, precisa se preparar. O mercado não espera, e nem deveria.
  • Image placeholder

    ana paula teixeira rocha

    setembro 15, 2025 AT 03:17
    Ah, então agora tem que pedir permissão pra mandar dinheiro? 😂 Tá bom, vou mandar R$50 pro meu irmão... com formulário, 3 códigos e uma entrevista com o gerente. O Pix era pra ser fácil, não pra virar um filme de espionagem. #sóqueroenviarmdinheiro
  • Image placeholder

    Maiara Soares

    setembro 16, 2025 AT 15:18
    Você acha que isso vai parar o crime? Claro que não. O que vai acontecer é que os golpistas vão migrar para o sistema de boleto, cartão de crédito, ou pior: vão começar a usar cripto sem regulamentação. Aí a gente vai ter o mesmo problema, mas sem rastreabilidade. O BC está tentando, mas tá jogando água no fogo com um balde furado.
  • Image placeholder

    Leonardo Netto

    setembro 18, 2025 AT 10:06
    Se o limite for de R$10 mil por transação, e eu preciso pagar R$90 mil pro meu fornecedor, vou ter que fazer 9 transferências? E se o sistema bloquear 3 delas por "padrão atípico"? E se eu for um pequeno comerciante que vive de vendas diárias? Quem define esses limites? E quem responde por erros?
  • Image placeholder

    Luís Vinícius M C

    setembro 18, 2025 AT 10:38
    Concordo com o Leo, mas também com o Paulo. A segurança é necessária, mas tem que ser inteligente. Não adianta colocar cadeado na porta se o cofre tá na varanda. O que precisa é de mais inteligência artificial, menos regras manuais. O sistema já sabe quando algo tá estranho. Por que não confiar mais nisso?
  • Image placeholder

    Jose de Alcantara Xavier

    setembro 20, 2025 AT 03:22
    Isso é uma vergonha. O povo paga imposto, trabalha, e agora tem que pedir licença pra mandar dinheiro? Eles querem controlar tudo. Quem vai pagar por essa burocracia? O consumidor. O BC tá mais preocupado em parecer forte do que em ser justo. Isso não é proteção, é opressão disfarçada de regulamentação.
  • Image placeholder

    Laís Norah

    setembro 21, 2025 AT 17:18
    Eu só queria saber: e os pequenos fornecedores? E os freelancers que recebem Pix todo dia? Vão ter que se cadastrar como empresa pra poder receber R$500? Isso não é proteção. É exclusão.
  • Image placeholder

    Rodrigo Junges

    setembro 22, 2025 AT 06:10
    O problema não é o limite. O problema é que ninguém explicou direito como funciona a exceção. Se eu tenho um contrato com um cliente que paga R$200 mil por mês, como eu faço pra ele continuar pagando sem virar um pesadelo? O BC precisa dar um manual claro. Sem isso, todo mundo vai parar, e o sistema vai sofrer mais do que antes.
  • Image placeholder

    Iara Rombo

    setembro 22, 2025 AT 07:39
    O Brasil é referência global em pagamentos instantâneos - e isso não é acidente. É fruto de coragem, de visão, de gente que acreditou que era possível. Agora, a ameaça não vem de fora, vem da inércia. Se regulamos como se o mundo fosse perfeito, vamos acabar matando o que de melhor temos. Precisamos de segurança, sim. Mas também precisamos de inteligência. Não de regras rígidas, mas de sistemas adaptativos. O Pix não morreu. Ele só precisa de um novo nível de maturidade.
  • Image placeholder

    Luciana Castelloni

    setembro 23, 2025 AT 16:38
    Só um detalhe: o ataque à Sinqia aconteceu porque alguém usou credenciais de um fornecedor. Não foi o Pix que falhou. Foi a falta de governança. Então, em vez de limitar o valor, por que não obrigar todos os fornecedores a terem certificação de segurança? Isso resolveria o problema na raiz. E seria mais justo.

Escreva um comentário

Categorias

Arquivos

Menu

© 2026. Todos os direitos reservados.