O sistema de pagamento instantâneo Pix, amplamente utilizado pelos brasileiros, está enfrentando uma onda de ataques cibernéticos. Recentemente, mais de R$ 1,5 bilhão foi desviado de bancos e fintechs através do Pix, em violações que ocorreram nas plataformas de empresas de tecnologia que intermediam essas transações. Parte desse valor foi recuperada e bloqueada pelo Banco Central (BC).
As investigações apontam que a maioria dos problemas está ligada a falhas nas provedoras de tecnologia, que são intermediárias entre bancos ou fintechs menores e o sistema do BC. Até o momento, o BC realizou apenas cinco ações de fiscalização no sistema desde a sua implementação, o que é considerado insuficiente.
Em resposta ao aumento de fraudes, o Banco Central anunciou novas regras para aumentar a segurança no uso do Pix. A partir da última sexta-feira, ficou estabelecido um limite de R$ 15 mil por transação para fintechs que não possuem autorização específica ou que utilizam provedores de tecnologia. Além disso, o prazo para que instituições de pagamento solicitem licença foi antecipado de 2029 para 2026, e haverá um aumento nas taxas cobradas das prestadoras de serviços de tecnologia.
O Pix se conecta de duas maneiras diferentes: grandes bancos e fintechs fazem a ligação direta com o Banco Central, realizando a compensação das transações diretamente. Já instituições menores precisam contratar provedores que fazem essa conexão, o que adiciona uma camada extra e pode expor a segurança da operação.
Históricos de ataques recentes demonstram que muitos deles aconteceram em horários fora do expediente comercial, sugerindo que as ações foram planejadas para evitar a detecção. Criminosos conseguiram acessar dados sensíveis e credenciais, destacando a vulnerabilidade da arquitetura das intermediárias que não dispõem de um monitoramento eficaz. Essa estrutura de intermediação, embora tenha sido criada para fomentar a inovação e a inclusão financeira, mostra-se arriscada nesse contexto de fraudes.
Specialistas afirmam que as provedoras de tecnologia costumam operar sob regulamentos menos rigorosos, priorizando a agilidade na oferta de serviços e produtos em detrimento da segurança. Isso levou a brechas que podem ser facilmente exploradas por hackers. Os ataques não afetaram diretamente os clientes individuais, pois as contas de liquidação onde estes recursos estão custodiados são geridas pelo Banco Central. Assim, a separação entre os fundos das instituições e os dos clientes ajuda a protegê-los de perdas diretas.
O Banco Central tem o papel de proteger o núcleo do Pix e monitorar as transações, mas as instituições participantes são responsáveis pela segurança de suas interfaces e sistemas. Após os recentes ataques, a fiscalização foi reforçada, mas a efetividade das novas regras e a adequação das empresas menores a esses padrões ainda precisam ser observadas.
A implementação de um capital mínimo de R$ 15 milhões para provedores de tecnologia é uma das medidas que visa aumentar a segurança, embora especialistas alertem que isso não garante proteção completa contra ataques sofisticados. O cenário atual sugere uma necessidade de equilíbrio entre a segurança e a fomentação da concorrência no setor, onde uma supervisão mais intensa pode impactar negativamente as empresas menores.
Por fim, o desafio é encontrar um modelo que mantenha as vantagens do sistema enquanto fortalece a segurança nas conexões e transações, assegurando a proteção de todas as partes envolvidas.
