{"id":42346,"date":"2025-09-06T21:29:16","date_gmt":"2025-09-07T00:29:16","guid":{"rendered":"https:\/\/mussicom.com\/ataques-ao-pix-reacendem-duvidas-sobre-a-seguranca-do-sistema\/"},"modified":"2025-09-06T21:29:16","modified_gmt":"2025-09-07T00:29:16","slug":"ataques-ao-pix-reacendem-duvidas-sobre-a-seguranca-do-sistema","status":"publish","type":"post","link":"https:\/\/mussicom.com\/noticias\/ataques-ao-pix-reacendem-duvidas-sobre-a-seguranca-do-sistema\/","title":{"rendered":"Ataques ao Pix reacendem d\u00favidas sobre a seguran\u00e7a do sistema"},"content":{"rendered":"


\n<\/p>\n

\n

Uma sucess\u00e3o de ataques hacker reacendeu a desconfian\u00e7a em rela\u00e7\u00e3o \u00e0 seguran\u00e7a do sistema financeiro no Brasil. Em pelo menos dois deles, as contas de pagamento de institui\u00e7\u00f5es que conectam bancos ao sistema do Pix do Banco Central foram invadidas. Estima-se que perto de R$ 2 bilh\u00f5es tenham sido desviados.<\/p>\n

No in\u00edcio de julho, criminosos subtra\u00edram quantia estimada em mais de R$ 1 bilh\u00e3o. No fim de agosto, outros R$ 710 milh\u00f5es foram roubados. Depois desses ataques, houve pelo menos mais dois em setembro, por\u00e9m nenhum deles conseguiu desviar dinheiro relacionado ao Pix.<\/p>\n

A sucess\u00e3o de ataques levou o Banco Central a anunciar, na sexta-feira (5), uma s\u00e9rie de medidas para fortalecer a seguran\u00e7a do sistema financeiro e do Pix. Dentre elas, um limite de R$ 15 mil para TEDs e Pix de institui\u00e7\u00f5es de pagamento que n\u00e3o tenham autoriza\u00e7\u00e3o do BC e para aquelas que se valem de prestadores de servi\u00e7os de tecnologia da informa\u00e7\u00e3o (PSTIs) para realiz\u00e1-las.<\/p>\n

O BC tamb\u00e9m estipulou o m\u00ednimo de R$ 15 milh\u00f5es em caixa para credenciamento das prestadoras de servi\u00e7o ao sistema e antecipou de dezembro de 2029 para maio de 2026 o prazo para que institui\u00e7\u00f5es de pagamento solicitem autoriza\u00e7\u00e3o, entre outras iniciativas (saiba mais aqui)<\/em>.<\/p>\n

Especialistas ouvidos pela Gazeta do Povo<\/strong> antes do an\u00fancio das medidas pelo BC avaliam que o sistema n\u00e3o ficou mais vulner\u00e1vel com o passar do tempo, mas que brechas existentes foram percebidas por criminosos e n\u00e3o foram sanadas, estimulando novas tentativas de invas\u00e3o.<\/p>\n

Juan Ferr\u00e9s, economista e s\u00f3cio da Teros, uma plataforma de automa\u00e7\u00e3o para empresas, afirma que existe uma fragilidade no processo de mensageria que conecta o Pix e que permite esses ataques. Segundo o empres\u00e1rio, ela se deve \u00e0 forma como as institui\u00e7\u00f5es estruturam seus controles e mecanismos de autentica\u00e7\u00e3o.<\/p>\n

\u201cN\u00e3o basta contar apenas com senha ou autentica\u00e7\u00e3o em dois fatores, \u00e9 necess\u00e1rio adotar uma camada mais robusta de seguran\u00e7a, com VPNs dedicadas, criptografia de dados, assinaturas digitais e m\u00faltiplas etapas de valida\u00e7\u00e3o que assegurem a integridade das movimenta\u00e7\u00f5es, al\u00e9m da verifica\u00e7\u00e3o de cobertura de saldos”, afirma.<\/p>\n

Ele ainda explica que muitas transa\u00e7\u00f5es, principalmente nos ajustes de contas, n\u00e3o precisam ser liquidadas de forma instant\u00e2nea \u2014 as do Pix levam, em geral, dez segundos para serem efetuadas. Por essa raz\u00e3o, as institui\u00e7\u00f5es podem e devem definir cen\u00e1rios de uso para essas movimenta\u00e7\u00f5es, de modo a facilitar a cria\u00e7\u00e3o de processos mais segurose prevenir ataques.<\/p>\n

\u201cOs dois ataques recentes exploraram justamente essa brecha no Pix, onde os invasores identificaram que era poss\u00edvel atacar diretamente as contas de reserva e se aproveitaram dessa fragilidade”, disse.<\/p>\n

Mesmo ap\u00f3s o ataque, sistema permaneceu vulner\u00e1vel<\/h2>\n

Para Pedro Magalh\u00e3es, s\u00f3cio da Pixley, uma fintech de pagamentos em criptomoedas, o ataque \u00e0 C&M no in\u00edcio de julho revelou falhas persistentes \u2013 e depois dele o sistema n\u00e3o foi fortalecido.<\/p>\n

Na vis\u00e3o do empreendedor, o segundo ataque, realizado no dia 29 de agosto contra a Sinqia, provavelmente seguiu o mesmo padr\u00e3o do anterior, aproveitando a brecha no sistema do Pix.<\/p>\n

A repeti\u00e7\u00e3o, afirma ele, n\u00e3o s\u00f3 demonstra que as vulnerabilidades n\u00e3o foram sanadas, mas tamb\u00e9m que h\u00e1, possivelmente, outros ataques j\u00e1 planejados em paralelo.<\/p>\n

Duas fintechs de cr\u00e9dito foram alvo de ataques ao sistema Pix<\/h2>\n

No intervalo de tr\u00eas dias, duas fintechs foram alvos de ataques contra o sistema Pix. Na ter\u00e7a-feira (2), o mercado foi alertado sobre ataque contra a Monetarie. Ao todo, teriam sido desviados R$ 4,9 milh\u00f5es, dos quais R$ 4,7 milh\u00f5es foram recuperados no mesmo dia.<\/p>\n

Primeiramente, os criminosos teriam tentado se valer da mesma brecha no sistema do Pix. Ao terem o acesso bloqueado, a estrat\u00e9gia foi migrar para o sistema de mensageria de transfer\u00eancias TED, onde conseguiram realizar os desvios.<\/p>\n

Prontamente, o mercado recebeu um alerta para bloquear transfer\u00eancias originadas na Monetarie, refor\u00e7ar o monitoramento cont\u00ednuo de todas as transa\u00e7\u00f5es financeiras e aumentar o n\u00edvel de autentica\u00e7\u00e3o e vigil\u00e2ncia em todos os sistemas de pagamento.<\/p>\n

Na quinta-feira (4), criminosos miraram novamente o sistema Pix de uma fintech, cujo nome n\u00e3o foi revelado. Mesmo que n\u00e3o tenha havido desvio de recursos ou roubo de dados, o ataque suspendeu a gera\u00e7\u00e3o de query code do Pix pela empresa-alvo.<\/p>\n

Identificar os criminosos para coibir novos ataques ao Pix<\/h2>\n

Segundo Pedro Magalh\u00e3es, da Pixley, a identifica\u00e7\u00e3o e a puni\u00e7\u00e3o dos hackers respons\u00e1veis pelos desvios s\u00e3o fundamentais para a preven\u00e7\u00e3o de novos ataques. \u201cEles raramente s\u00e3o descobertos, o que potencializa a recompensa”, afirma.<\/p>\n

Ele ainda avalia que, de fato, h\u00e1 uma certa neglig\u00eancia por parte das empresas que realizam esse tipo de conex\u00e3o, desde a falta de controle de acesso com maior \u00edndice de seguran\u00e7a at\u00e9 o uso de melhores pr\u00e1ticas de cust\u00f3dia de chaves digitais.<\/p>\n

\n

VEJA TAMB\u00c9M:<\/p>\n