Banco Central endurece regras após ataques ao Pix
Em poucas horas, criminosos tentaram movimentar R$ 710 milhões por um canal que milhões de brasileiros usam todos os dias. O alvo não foram correntistas, mas a engrenagem por trás do sistema. A resposta veio rápido: o Banco Central (BC) prepara um pacote de medidas que muda a rotina de bancos, fintechs e fornecedores de tecnologia, com limites máximos para transferências e regras operacionais mais duras.
O gatilho foi o ataque de 29 de agosto de 2025. Hackers usaram credenciais comprometidas de um fornecedor de TI para acessar sistemas da Sinqia, empresa que conecta instituições financeiras ao ecossistema de pagamentos e é controlada pela Evertec. A partir daí, miraram operações envolvendo duas instituições de grande porte: HSBC e Artta. Foi uma ação sofisticada de cadeia de suprimentos — sem invadir diretamente os bancos, os criminosos tentaram explorar o elo intermediário.
Segundo o Ministério da Fazenda, por meio do secretário-adjunto Fábio Silveira, o plano do BC inclui tetos por transação tanto no Pix, hoje o meio de pagamento mais utilizado no país, quanto no TED, o sistema mais antigo. Os limites valerão para pessoas físicas e jurídicas. A lógica é simples: se uma transferência muito grande não puder ocorrer de uma vez, o fracionamento cria uma trilha mais evidente para os mecanismos de monitoramento, facilitando a identificação de padrões atípicos e a interrupção de fraudes em tempo real.
O pacote regulatório vai além do valor por operação. O BC definirá padrões mínimos de operação para fintechs e para os fornecedores que prestam serviços críticos ao sistema financeiro. O foco está em governança de terceiro e segurança cibernética: gestão rígida de acessos e credenciais, autenticação multifator para ambientes sensíveis, segregação de redes e ambientes de produção, registro e retenção de logs, testes periódicos de intrusão e planos de continuidade que permitam isolar rapidamente incidentes sem paralisar o sistema inteiro.
No caso Sinqia, a empresa ativou seu plano de resposta a incidentes, suspendeu o processamento de transações de Pix e chamou peritos forenses. O Banco Central, por sua vez, barrou a retomada do processamento no SPB (Sistema de Pagamentos Brasileiro) e no Pix até que as ações corretivas sejam comprovadas e aprovadas pelos reguladores. As polícias federal e estaduais foram acionadas ainda nas primeiras horas, e parte dos recursos foi localizada e bloqueada, com procedimentos de devolução em curso. Até aqui, não há evidências de vazamento de dados de clientes.
Para o usuário comum, a expectativa é que os novos tetos não afetem pagamentos do dia a dia — contas, compras, transferências entre familiares — que, em geral, têm valores modestos. Já empresas que realizam operações de maior monta devem se preparar para verificações adicionais, janelas de aprovação e, em alguns casos, o uso de trilhas operacionais específicas para pagamentos corporativos, com camadas extras de autenticação e validação.
O desenho dos limites é um ponto sensível. O BC terá de calibrar faixas por perfil de cliente, tipo de operação e canal de origem, sem estrangular o fluxo legítimo. O histórico recente mostra caminhos: quando ampliou controles de risco no Pix no passado, a autoridade combinou limites com mecanismos dinâmicos de ajuste e a possibilidade de elevação mediante solicitação do cliente. A diferença agora é que os tetos tendem a ser mais rígidos para coibir transações fora da curva em janelas curtas de tempo.
Outra frente é a padronização do que os reguladores chamam de requisitos de resiliência operacional. Na prática, isso inclui: processos formais de avaliação de risco de terceiros; contratos com cláusulas de segurança e auditoria; monitoramento contínuo de provedores críticos; rotação e guarda de chaves de acesso; políticas de privilégio mínimo; e exercícios regulares de mesa (tabletop) para treinar a resposta integrada entre bancos, fintechs e seus fornecedores. Instituições terão de demonstrar aderência com evidências — relatórios de auditoria independente, métricas de tempo de resposta e indicadores de continuidade.
O caso também reacende a discussão sobre telemetria e análise comportamental. Com limites mais baixos por transação, os fraudadores tendem a fatiar valores e distribuir alvos. Isso exige modelos mais granulares, capazes de correlacionar múltiplas tentativas em curto espaço de tempo, cruzar dispositivos, origens de IP, horários e recorrência de beneficiários. As instituições que já operam centros de operações de segurança 24/7 saem na frente; quem ainda depende de alertas manuais precisará acelerar a automação.
Há um componente de coordenação que faz diferença: a cooperação interbancária. O Mecanismo Especial de Devolução (MED), criado para dar rumo às devoluções em caso de fraude, ganha protagonismo junto com bloqueios preventivos e notificações imediatas entre instituições. Tempo de resposta importa. Nos maiores casos de desvio, quando a primeira hora funciona, a recuperação sobe de patamar; quando trava, o rastro esfria e o dinheiro se perde em camadas de laranjas e contas de passagem.
Para as fintechs, o impacto é direto. Investimentos em segurança tendem a subir e o custo de conformidade vai pesar no orçamento — da revisão de contratos com fornecedores à contratação de auditorias externas. Também muda a narrativa comercial: velocidade e conveniência seguem no centro, mas com fricções necessárias em operações de alto valor. Um ponto de atenção é a governança de incidentes: transparência, prazos de comunicação e obrigações de reporte ao regulador ganham dentes.
Os bancos tradicionais veem uma oportunidade de equalizar riscos. Muitos já operam há anos com padrões elevados de segurança física e lógica, e agora esperam que o mesmo nível seja exigido dos novos entrantes e de seus parceiros tecnológicos. No curto prazo, porém, todo o mercado ajusta fluxos internos, reavalia integrações e reforça testes de resiliência para evitar surpresas, especialmente em integrações com hubs de pagamentos e gateways.
O Brasil virou vitrine mundial de pagamentos instantâneos desde 2020. A escala é imensa, e o apetite do crime organizado acompanha. O BC trata o momento como de vigilância elevada: a adoção massiva do Pix, somada à abertura de dados do Open Finance, cria uma superfície de ataque maior, com ganhos também maiores para quem encontra uma brecha. O pacote atual é a ação mais contundente até agora para fechar portas em um ambiente que usa tempo real como regra e não como exceção.
Ficam perguntas em aberto. Quais serão os tetos por tipo de cliente? Haverá exceções setoriais — por exemplo, para varejistas com alto volume — ou janelas horárias com regras diferentes? Como funcionará a elevação de limites mediante solicitação e qual será o tempo de resposta? E, ponto chave, como o BC vai harmonizar as exigências para que empresas não migrem, por conveniência, para canais menos seguros em busca de liquidez instantânea?
O ataque à Sinqia e o risco do elo mais fraco
O episódio envolvendo a Sinqia ilumina um risco que o setor conhece bem: a cadeia de fornecedores. As credenciais de um parceiro de TI abriram caminho para um ataque que tentou escalar rapidamente valores em trânsito. É o retrato clássico de risco de supply chain: o invasor não precisa derrubar a muralha principal se conseguir entrar por uma porta de serviço. A resposta regulatória mira justamente esse ponto, tornando obrigatórios controles que, muitas vezes, ficavam como “boas práticas”.
Entre os controles que ganham status de obrigação, destacam-se a revisão contínua de acessos privilegiados, a segmentação de redes (para que ambientes de testes e produção não se contaminem), o uso de cofres de senhas e chaves, a validação forte de identidade de usuários e máquinas, e a limitação de integrações ponto a ponto sem camadas de mediação e observabilidade. Na prática, mais camadas de defesa e menos dependência de um único fornecedor para funções críticas.
O caso também mostra que incidentes de grande escala nem sempre nascem de falhas no banco final. Muitas vezes, o problema está no elo intermediário — hubs, gateways, processadoras. Por isso, o BC quer padronizar o que significa ser “crítico” no ecossistema de pagamentos e amarrar essa classificação a requisitos proporcionais de segurança, disponibilidade e governança. Para as empresas, isso implica revisitar o mapa de integrações, classificar riscos por criticidade e priorizar mitigação onde o potencial de dano é maior.
No front policial, a investigação corre em múltiplas frentes. O objetivo é identificar as células que coordenaram o ataque, rastrear os fluxos de valores e chegar às contas de destino finais. Parte do dinheiro já foi recuperada, e outras quantias seguem em disputa judicial e administrativa, amparadas pelas regras de devolução e bloqueio do sistema. O sucesso dessas ações costuma depender do sincronismo entre bancos, regulador e autoridades — e de boletins de ocorrência rápidos para dar base legal aos bloqueios.
O próximo passo regulatório é a validação das correções propostas pelas empresas diretamente afetadas e a publicação das normas que darão forma aos limites e aos padrões mínimos operacionais. Até agora, o BC não divulgou valores específicos nem prazos, mas já sinalizou que a prioridade é reduzir a superfície de ataques de alto impacto sem comprometer a experiência de pagamento que consolidou a preferência do público pelo instantâneo.
Lá fora, reguladores acompanham. A experiência brasileira com pagamentos em tempo real e open banking serve de laboratório para quem está expandindo sistemas instantâneos. O êxito — ou não — dos tetos e dos novos requisitos pode influenciar a forma como Europa, Ásia e vizinhos latino-americanos calibram suas próprias regras de segurança e continuidade.
O recado, por ora, é claro: o sistema segue funcionando, mas com freios mais firmes em operações de grande valor. O dinheiro tem de circular. Só não pode correr mais rápido do que a capacidade de enxergar quando algo está errado.