Quando o Banco Central (BC) decidiu desligar às pressas as conexões de 22 instituições ao sistema do Pix, no dia 1º de julho, reagia a um ataque cibernético de escala inédita no país. Criminosos desviaram cerca de R$ 800 milhões, valor que fontes do setor estimam chegar a R$ 1 bilhão, explorando um elo específico da rede: a C&M Software, empresa terceirizada responsável por conectar bancos menores e fintechs ao Sistema de Pagamentos Brasileiro (SPB).

O ataque não envolveu falhas nos servidores do BC nem vulnerabilidades inéditas no protocolo do Pix. Em vez disso, explorou uma brecha crítica na gestão de credenciais da empresa intermediária, que transformava ordens de pagamento em um formato reconhecido pelo Banco Central. Foi nesse ponto de intermediação que os invasores conseguiram se infiltrar.

Segundo o BC, o golpe se valeu do uso indevido de credenciais legítimas, sem invadir ou comprometer os sistemas centrais. Para Kleber Carriello, engenheiro consultor sênior da NETSCOUT Brasil e especialista em monitoramento avançado de redes críticas, essa característica evidencia uma fragilidade estrutural no ecossistema financeiro:

“Não se tratou de um zero-day ou vulnerabilidade complexa, mas de falhas básicas em gestão de identidade e acesso. Os atacantes usaram credenciais válidas para operar de dentro do ambiente confiável”.

Em nota, a C&M reconheceu ter sido alvo de ação criminosa que envolveu justamente credenciais de clientes. O Banco Paulista, um dos atingidos, afirmou que o incidente não expôs dados sensíveis nem gerou movimentações indevidas em contas de clientes finais. Já a BMP explicou que o alvo foram as chamadas “contas reserva” no BC, usadas para liquidação interbancária. As contas de pessoas físicas ficaram intactas, mas as instituições impactadas precisaram cobrir o rombo com seus colaterais.

A reação rápida do BC, bloqueando o acesso da C&M ao Pix, foi decisiva para conter o impacto sistêmico. Para Andre Carneiro, diretor-geral da Sophos no Brasil e ex-banqueiro com carreira de uma década no setor financeiro, foi uma resposta correta:

“Acho uma ação assertiva, que impede o problema de se espalhar. Mas também expõe o desafio de detectar e responder a incidentes com muita rapidez”.

A velocidade, no entanto, está no próprio DNA do Pix. O sistema foi desenhado para permitir transferências em até dez segundos, revolucionando a experiência do usuário, mas também oferecendo oportunidade para fraudes sofisticadas, com transações encadeadas que dificultam o rastreamento. Carneiro observa que os criminosos passaram a explorar exatamente esse fator:

“Não há mais força bruta para roubar senhas, usam credenciais legítimas, muitas vezes vazadas. Em segundos, conseguem lavar valores ou criar cadeias de transações que dificultam rastrear o destino”.

O ataque não usou tecnologia de ponta, mas se valeu de falhas humanas e organizacionais, um problema clássico que continua atual.

Qual é o elo mais fraco?

Uma das principais lições deixadas pelo ataque é a importância da custódia de credenciais. Marco Zanini, CEO da DINAMO Networks e especialista em infraestrutura criptográfica para o mercado financeiro, é direto ao criticar a prática negligente em empresas de financeiras e de tecnologia de armazenar chaves criptográficas — que permitem assinar transações com o BC — em servidores genéricos ou na nuvem, sem controles robustos:

“Uma vez copiada a chave, basta descobrir a senha para assinar em nome do banco. É o cenário atual do grandes roubos. Não precisam trocar tiro com a polícia. Basta transferir um arquivo”.

Em crimes financeiros e em grandes instituições, Zanini defende que o Banco Central atue em mais níveis de regulação, para chegar em prestadores de serviço não apenas como “recomendação” de boas práticas e passando a exigir padrões rigorosos: cofres digitais para armazenar chaves, múltiplas aprovações para uso, autenticação multifatorial (MFA).

Essa crítica expõe uma tensão estrutural: a velocidade do mercado financeiro, que adora agilidade, contrasta com processos de segurança que necessariamente introduzem “atrito” no uso. Zanini lembra que a experiência sem fricção sempre foi vendida como vantagem, mas acaba criando superfícies de ataque enormes. E reforça que segurança não é custo, mas investimento — e que o mercado vai ter de amadurecer para evitar fraudes dessa ordem ou maiores.

Outro ponto de atenção é o ecossistema cada vez mais diverso do sistema financeiro. Para Carneiro, fintechs e startups de Open Finance trouxeram concorrência e inovação, mas muitas vezes sem a mesma maturidade de governança que os bancos tradicionais construíram ao longo de décadas.

“Crescem rápido, mas sem fortalecer processos de gestão de identidades ou monitoramento de vazamentos na deep web”.

Na prática, essas instituições terceirizam seu acesso ao SPB para intermediários como a C&M, empresas que se tornam alvos prioritários de criminosos. Mesmo sendo auditadas e reguladas, essas integrações criam dependências críticas. O resultado é um risco sistêmico real: a segurança de todo o sistema é tão forte quanto o elo mais fraco.

Para Danilo Barsotti, CTO da idwall e especialista em validação de identidade digital, não se trata de demonizar novos entrantes, mas de garantir que eles cumpram os mesmos níveis de exigência. Ele cita como exemplo o caso do Banco de Bangladesh em 2016, quando hackers quase levaram US$ 1 bilhão graças a falhas parecidas de validação.

“Aquilo acelerou a adoção do modelo de zero trust no setor financeiro. Validar tudo para liberar qualquer coisa, com MFA, biometria, geolocalização. Mesmo assim, sempre pode haver falhas ou vulnerabilidades exploradas.”

Barsotti acredita que o ataque brasileiro vai gerar uma nova rodada de amadurecimento no setor. E destaca que o Banco Central brasileiro já tem uma reputação de regulação rigorosa, algo que deve se intensificar.

Prevenção, detecção e resposta: a lição mais difícil

Se há algo em que todos os especialistas concordam é que não existe bala de prata. Para Pedro Eurico Rego, gerente de segurança da Tenable no Brasil e profissional focado em gestão de riscos cibernéticos, a segurança precisa ser pensada como um processo contínuo:

“Muitas empresas ainda têm dificuldade para mapear ativos, saber quem acessa o quê. Quanto mais fácil para o usuário, mais fácil para o atacante.”

Ele lembra que a IA ajuda muito na detecção, mas é sempre olhar para o passado: o ataque já aconteceu. A verdadeira proteção está em mapear riscos antes, identificar o que é crítico, monitorar acessos em tempo real e criar múltiplas camadas de validação.

Ele defende maior visibilidade em tempo real sobre tráfego e comportamento, com monitoramento contextualizado capaz de flagrar acessos anômalos — mesmo que usem credenciais legítimas.

Entre a conveniência e o risco sistêmico

No balanço do maior ataque já registrado no ecossistema do Pix, o setor financeiro se depara com uma constatação técnica e difícil de ignorar: não houve invasão dos sistemas centrais do Banco Central, mas o uso indevido de credenciais legítimas em um elo terceirizado e autorizado para operar.

Esse caminho, descrito por especialistas como sofisticado mais pela engenharia social e pela exploração de processos do que por falhas inéditas de software, reforça um alerta antigo sobre a segurança no setor: práticas consistentes de gestão de identidade, controles de acesso e governança são indispensáveis em toda a cadeia, independentemente do porte ou da função das empresas envolvidas.

A resposta rápida do Banco Central, isolando o problema para evitar efeitos sistêmicos, foi amplamente destacada como fator positivo. Mas as discussões que se abrem agora apontam para um movimento mais amplo: fortalecer padrões mínimos, revisar requisitos regulatórios e ampliar a visibilidade sobre riscos compartilhados num sistema cada vez mais digital e integrado.