O ataque hacker que resultou no desvio de cerca de R$ 800 milhões de contas de instituições financeiras no Banco Central (BC) levantou dúvidas sobre segurança digital e confiabilidade do sistema do Pix no Brasil. Os valores foram desviados via Pix em um intervalo de duas horas e meia na última terça-feira (1º).

Seis instituições que utilizam serviços da empresa C&M Software foram afetadas, incluindo as transferências por Pix dos clientes, que precisaram ser interrompidas por questões de segurança. Apesar da ação cibernética, não houve, até o momento, a confirmação de que clientes pessoas física e jurídica tenham perdido dinheiro. O Banco Central garantiu que o sistema do Pix não foi afetado e segue funcionando normalmente.

Segundo o Banco Central, as contas invadidas são reservas e usadas para processar movimentações financeiras entre instituições no Sistema de Transferências e Reservas (STR). O banco informou que, por segurança, as operações Pix da C&M foram interrompidas assim que houve a detecção do golpe e retomadas, na quinta-feira (3), “sob regime de produção controlada”.

O especialista em Tecnologia e Inovação Arthur Garcia avalia que a vulnerabilidade de segurança digital encontrada “está longe de ser algo sistêmico e de ter algo a ver com o cerne do Pix”. Por isso, segundo ele, o sistema continua sendo confiável e não há motivo para pânico.

Mesmo assim, Garcia alerta que o ataque foi algo “gravíssimo e inadmissível” e que será necessário rever o nível de segurança das empresas que operam o sistema do Pix ligado ao Banco Central. E caberá também ao BC recuperar a credibilidade. “Há um grande dano causado não só do ponto de vista financeiro, mas de confiabilidade dos usuários, que são a parte mais importante dessa história”, complementa.

O ataque hacker ocorreu no mesmo dia em que o Banco Central colocou em vigor novas medidas de segurança digital sobre o Pix, nas quais os bancos devem verificar com a Receita Federal as informações vinculadas às chaves Pix para evitar fraudes. O objetivo dessa mudança é evitar que fraudadores insiram um nome diferente numa chave Pix de alguém registrado na base da Receita.

O Pix se tornou a principal forma de pagamento e de transferências bancárias dos brasileiros. Em 2024, foram realizadas 63,51 bilhões de operações via Pix, movimentando um total de R$ 26,455 trilhões, o que representou uma alta de 54% na comparação com o ano anterior, que foi de R$ 17 trilhões.

Usuários do Pix devem ter outras preocupações e cuidados

Em entrevista à Gazeta do Povo, o especialista em segurança digital, prevenção a fraudes do mercado financeiro e de meios de pagamentos digitais Luiz Henrique Barbosa reforça que não existe preocupação para os brasileiros que incorporam o Pix como principal meio de pagamentos e transações na vida financeira. “O comprometimento ocorreu em um outro fluxo, uma comunicação entre uma empresa específica e o Banco Central, não afetando diretamente as contas ou transações Pix de pessoas físicas”, pontua.

Segundo o especialista, o incidente afetou a infraestrutura interna da empresa, que funciona como um hub, conectando outras fintechs ao Banco Central para facilitar as movimentações dentro do ecossistema financeiro. Para ele, o sistema financeiro brasileiro é um dos mais evoluídos e seguros do mundo, com o Pix permitindo transações rápidas em tempo real, o que exige outros cuidados dos usuários brasileiros.

“As preocupações da pessoa física devem ser outras, como não clicar em links maliciosos, não acreditar que o banco está ligando para solicitar procedimentos e dados e não cair em ofertas que parecem boas demais para ser verdade”, alerta.

Na opinião de Barbosa, a principal lição que fica do ataque ao sistema do Banco Central é a necessidade de aprimoramentos das regras para as empresas sem prejuízo às atividades das fintechs, conhecidas pelo baixo custo e inovação no setor. “Empresas menores, como as fintechs, não possuem as mesmas regulações ou poder de investimento em segurança que os grandes bancos. Exigir que atendam às mesmas normativas rígidas dos grandes bancos pode ‘matar’ o ecossistema de pequenas empresas de tecnologia, comprometendo sua agilidade, rapidez e preços competitivos”, analisa.

O especialista lembrou que a prisão do suspeito que teria sido aliciado pelo grupo criminoso responsável pelo crime aponta para a importância de investimentos maiores no setor de segurança digital tanto pelas fintechs quanto pelos grandes bancos. “Não apenas tecnológicos, mas também nos procedimentos de dupla custódia, para evitar que uma única credencial tenha poderes excessivos. Isso impede que, mesmo se uma credencial for comprometida, ela sozinha não cause grandes danos”, completa.