Nos últimos dois meses, criminosos movimentaram de forma fraudulenta mais de R$ 1,2 bilhão de instituições financeiras
Redação Publicado em 21/09/2025, às 18h29
A tentativa de invasão ao sistema da Caixa Econômica Federal em 12 de setembro foi apenas mais um episódio em meio à onda de ataques contra o PIX. Nos últimos dois meses, criminosos movimentaram de forma fraudulenta mais de R$ 1,2 bilhão de instituições financeiras.
No caso da Caixa, a ação não chegou a ser concluída. A Polícia Federal (PF) prendeu oito suspeitos em flagrante, apreendeu um notebook roubado do banco e apura a ligação do grupo com fraudes anteriores. Segundo o inquérito, o dispositivo e uma credencial de acesso foram obtidos por meio de um gerente de agência no bairro do Brás, em São Paulo.
A estratégia foi semelhante à usada em ataques recentes contra as empresas C&M Software e Sinqia: criminosos conseguiram acessar senhas e sistemas internos para desviar recursos de contas de reserva utilizadas no processamento de transações financeiras.
Especialistas apontam que a vulnerabilidade decorre de dois fatores principais:
As empresas C&M Software e Sinqia são intermediárias que conectam instituições financeiras ao Banco Central, os chamados Provedores de Serviços de Tecnologia da Informação (PSTI), e se tornaram alvo de hackers. Para especialistas, a fiscalização sobre esses provedores precisa ser reforçada, já que a responsabilidade de manter a estrutura protegida é deles, e não dos bancos diretamente.
Regras mais duras após os ataques
Diante das fraudes, o Banco Central decidiu antecipar a exigência de autorização formal para todas as instituições de pagamento que atuam no PIX. O prazo, que antes era dezembro de 2029, foi reduzido para maio de 2026.
Segundo o BC, 78 dos 936 participantes do sistema ainda não têm essa autorização expressa. A expectativa é que a medida aumente o controle e estabeleça padrões de segurança mais rigorosos, reduzindo brechas exploradas por criminosos.