Banco Central reage a ataques cibernéticos

Após recentes ataques cibernéticos a instituições financeiras e de pagamento, o Banco Central (BC) anunciou nesta sexta-feira (5/9) um conjunto de medidas para aumentar a segurança do Sistema Financeiro Nacional (SFN).

A principal mudança é a limitação de R$ 15 mil para transações via Pix e TED feitas por instituições de pagamento não autorizadas ou conectadas à rede do SFN por meio de Prestadores de Serviços de Tecnologia da Informação (PSTI).

Segundo o presidente do BC, Gabriel Galípolo, a iniciativa tem como meta reduzir a vulnerabilidade a ataques digitais e dificultar a atuação do crime organizado no sistema financeiro.

Crime organizado migra para ataques digitais

Galípolo destacou que a criminalidade está em constante adaptação. “De roubo de carteiras e assaltos a agências, o crime organizado passou a buscar senhas e invasões de infraestrutura crítica para atacar instituições financeiras. Mesmo que os eventos recentes tenham sido restritos às próprias instituições, o sistema financeiro não admite margem de tolerância quando o assunto é segurança”, afirmou.

Impacto limitado para usuários e empresas

O BC ressaltou que a medida tem impacto mínimo para a maioria dos usuários. Apenas 1% das transações de pessoa jurídica superam o valor de R$ 15 mil, e somente 3% das contas no sistema pertencem a PSTIs ou instituições de pagamento não autorizadas.

Já no caso das pessoas físicas, 99% das operações estão abaixo de R$ 3,7 mil. Dessa forma, o teto atinge principalmente operações de maior porte em instituições com fragilidades de segurança.

Regras podem ser flexibilizadas temporariamente

Quem precisar movimentar valores superiores em instituições não autorizadas deverá fracionar as transações. O BC também estabeleceu que a limitação poderá ser suspensa por até 90 dias para participantes que comprovarem a adoção de controles de segurança da informação.

As instituições só terão a restrição retirada definitivamente após demonstrarem governança e protocolos de proteção adequados.

Prazo antecipado para autorização obrigatória

Outra medida anunciada foi a antecipação do prazo para que instituições de pagamento não autorizadas solicitem permissão de funcionamento. A data, antes prevista para dezembro de 2029, foi adiantada para maio de 2026.

Segundo Galípolo, os PSTIs passaram a assumir papel crítico na infraestrutura financeira, o que justifica a necessidade de regras mais rígidas de governança e certificação de segurança.

BC defende fintechs e instituições da Faria Lima

Galípolo também fez questão de defender as fintechs e os bancos sediados na Faria Lima, em São Paulo, contra associações ao crime organizado.

“Essas instituições são vítimas, não autoras. Tanto os bancos tradicionais quanto os novos entrantes foram responsáveis por uma inclusão financeira essencial, que colocou o Brasil em posição de destaque tecnológico no setor financeiro internacional”, declarou.

Próximos passos: regulação de criptoativos

O BC adiantou que novas regras para criptoativos serão anunciadas ainda em 2025. A regulamentação vai priorizar a supervisão sobre stablecoins e seu possível uso em operações ilícitas.

Um ataque hacker ao sistema da Sinqia, empresa responsável por interligar instituições financeiras ao PIX, desviou aproximadamente R$ 710 milhões em transações não autorizadas. O incidente ocorreu na última sexta-feira (29) e é considerado um dos maiores ataques já registrados no sistema de pagamentos instantâneos brasileiro.

Segundo informações apuradas, os criminosos exploraram credenciais legítimas de fornecedores de tecnologia da empresa, inserindo transações fraudulentas no ambiente da Sinqia. O Banco Central identificou a invasão e bloqueou imediatamente a conexão da companhia com a rede financeira nacional, impedindo que o ataque se propagasse para outros bancos.

O que aconteceu no ataque ao PIX?

De acordo com a investigação, os hackers utilizaram acessos internos de terceiros para inserir operações financeiras falsas. Esse tipo de ataque, baseado na exploração de credenciais, já havia sido registrado em casos anteriores, demonstrando vulnerabilidades no ecossistema que conecta bancos ao PIX.

Após detectar o movimento suspeito, a Sinqia suspendeu todas as transações e iniciou protocolos de segurança com apoio de especialistas em cibersegurança. Parte do valor desviado já foi recuperada, e esforços continuam para reaver o restante.

Instituições financeiras afetadas

O HSBC foi a instituição mais impactada pelo ataque, mas reforçou que nenhuma conta de clientes foi comprometida. O banco informou que as movimentações ocorreram apenas em contas operacionais utilizadas em serviços de intermediação e que as operações fraudulentas foram bloqueadas.

A fintech Artta, também atingida, destacou que o ataque se concentrou em contas usadas para liquidações interbancárias junto ao Banco Central, sem qualquer impacto sobre clientes finais.

Impacto no sistema financeiro

Embora o ataque tenha desviado valores expressivos, especialistas ressaltam que a infraestrutura central do PIX, mantida pelo Banco Central do Brasil, não foi afetada. O problema ficou restrito ao ambiente da Sinqia, sem risco direto aos usuários comuns do sistema de pagamentos.

Ainda assim, o episódio reforça a preocupação com segurança digital no setor bancário, principalmente em ambientes de integração entre instituições. Nos últimos anos, ataques semelhantes vêm crescendo, explorando fragilidades em provedores de tecnologia que atuam como intermediários no sistema financeiro.

Próximos passos

As autoridades policiais já foram acionadas, e o caso está sendo investigado. O Banco Central informou que o restabelecimento do acesso da Sinqia ao sistema de pagamentos só será autorizado após a comprovação de medidas eficazes de segurança cibernética.

O ataque levanta novamente o debate sobre a necessidade de reforço na proteção de credenciais de fornecedores e sobre o monitoramento constante de transações interbancárias, consideradas alvos estratégicos por quadrilhas especializadas em crimes digitais.