Ataque hacker ao Pix: R$ 710 milhões desviados via Sinqia expõem fragilidades do sistema

Um ataque cibernético de grande escala realizado em 29 de agosto atingiu o sistema Pix, resultando no desvio de cerca de R$ 710 milhões, com impacto principalmente sobre o HSBC Brasil (R$ 669 milhões) e a fintech Artta (R$ 41 milhões). A operação foi intermediada pela Sinqia, empresa responsável pela infraestrutura que conecta bancos ao sistema do Banco Central.

Como o ataque aconteceu e suas consequências

• As transações irregulares foram realizadas por meio da exploração de credenciais legítimas de fornecedores de TI da Sinqia. Ao perceber a movimentação atípica, a empresa imediatamente isolou seu ambiente Pix e iniciou investigação com especialistas externos em cibersegurança.

• O Banco Central bloqueou cerca de R$ 589 milhões, representando cerca de 83% do total desviado. O sistema Pix central, gerido pelo BC, não foi comprometido e permanece funcionando normalmente.

• Tanto o HSBC quanto a Artta confirmaram que não houve impacto às contas de clientes, pois o ataque atingiu apenas as contas de liquidação mantidas junto ao Banco Central, não afetando operações de pessoas físicas ou jurídicas.

O papel das prestadoras de infraestrutura: ponto de vulnerabilidade

O caso evidencia uma falha estrutural no ecossistema de pagamentos instantâneos no Brasil:

• Empresas como a Sinqia são responsáveis pela ponte tecnológica entre bancos e o Banco Central, mas não são diretamente reguladas pela autarquia. Essa estrutura cria uma zona cinzenta em termos de fiscalização e segurança.

• Episódios semelhantes já ocorreram com outra PSTI (provedora de sistema Pix), a C&M Software, em junho deste ano, com desvio de quase R$ 1 bilhão.

• Especialistas reconhecem que o arcabouço de compliance atual não permite uma supervisão satisfatória da operação interna dessas prestadoras, o que facilita falhas graves.

Medidas em curso e próximos passos

• A Sinqia anunciou que bloqueou o acesso das credenciais comprometidas, tomou medidas de contenção e reconstrução de seu ambiente tecnológico e aguarda autorização do Banco Central para retomar as operações de forma segura.

• O Banco Central está revisando regras e ampliando a fiscalização sobre provedores de infraestrutura, incluindo mecanismos que diferenciem liquidações pelo valor da transação (valores elevados demorariam mais para serem executados, permitindo verificações complementares).

O que isso significa para o sistema financeiro e os consumidores

• O Pix segue funcional e confiável para os usuários finais, mas o episódio gera preocupação com a resiliência do sistema diante de ataques por meio de fornecedores terceirizados.

• A repetição de incidentes em curto espaço de tempo ressalta a urgência de normas mais rígidas, auditorias mais frequentes e controle direto sobre provedores, sobretudo os que lidam com credenciais sensíveis e liquidação financeira.

Conclusão

O ataque ao ambiente Pix da Sinqia e o consequente desvio milionário ilustram como a segurança do sistema financeiro depende não só de bancos, mas também das empresas que operam em segundo plano. A vulnerabilidade exposta reforça a necessidade de revisão legal, aprimoramento da governança e da supervisão, bem como maior padronização dos protocolos de segurança. O desafio agora é garantir que o Pix permaneça não apenas rápido e eficiente, mas também resiliente às ameaças cibernéticas.

Leia também