Como o Pix reage ao ataque de R$ 1 bilhão

Este artigo se propõe a analisar de forma abrangente o que está realmente acontecendo com o Pix no Brasil, desvendando os principais incidentes de segurança, as respostas regulatórias do Banco Central e as evoluções que moldarão seu futuro.

A atual fase do Pix no Brasil é caracterizada por uma dinâmica de amadurecimento acelerado. A presença do sistema no noticiário, com relatos de grandes incidentes de segurança coexistindo com anúncios de novas funcionalidades e regras, demonstra sua relevância e a intensidade das mudanças em curso.

Essa efervescência indica que o Pix está transitando de uma mera inovação para uma infraestrutura financeira fundamental. Naturalmente, essa transição atrai ameaças mais sofisticadas, ao mesmo tempo em que expande a utilidade do sistema para a população.

O Grande Ataque Cibernético à C&M Software e Suas Ramificações

Um dos eventos mais recentes que abalou a percepção de segurança do Pix foi o ataque cibernético à C&M Software, provedora de serviços tecnológicos importante para o ecossistema de pagamentos brasileiro.

O incidente, ocorrido em 1º de julho de 2025, não foi uma invasão direta ao sistema Pix do Banco Central, mas sim à infraestrutura de um terceiro que presta serviços a instituições financeiras.

Detalhes e Valores Desviados

O ataque teve como alvo a C&M Software, empresa que desempenha um papel vital na gestão da troca de informações entre instituições brasileiras conectadas ao Sistema de Pagamentos Brasileiro (SPB) e que é homologada pelo Banco Central para a integração ao Pix.

Os criminosos conseguiram acessar os sistemas da empresa utilizando credenciais (login e senha) que haviam sido vazadas de clientes da C&M Software. Essa forma de acesso sugere que o incidente não foi resultado de uma invasão direta às vulnerabilidades técnicas do sistema Pix, mas sim da exploração de falhas na gestão de credenciais ou de um ataque de engenharia social.

A própria C&M Software esclareceu que não houve uma violação direta de seus sistemas, mas uma tentativa de fraude que se valeu de credenciais legítimas obtidas por meio de técnicas de manipulação psicológica.

O ataque resultou no desvio de uma quantia milionária, com estimativas que variam entre R$ 800 milhões e R$ 1 bilhão, valores que foram subtraídos de contas de reserva que os bancos mantêm junto ao Banco Central para cumprir exigências regulatórias. O dinheiro desviado foi rapidamente transferido via Pix e, posteriormente, convertido em criptomoedas.

A investigação levou à prisão de João Nazareno Roque, técnico de TI terceirizado da C&M, em 3 de julho de 2025. Ele é suspeito de ter colaborado com a invasão e confessou ter recebido R$ 15.000 para facilitar o acesso dos hackers ao sistema da empresa.

A defesa de Roque, no entanto, argumenta que ele foi enganado e “serviu de fantoche”, sem ter plena consciência da dimensão do “golpe multimilionário”.

Após o incidente, a C&M Software conseguiu retomar suas operações de Pix em 3 de julho, com a devida autorização do Banco Central. A empresa também afirmou estar cooperando ativamente com as investigações e informou ter contratado uma auditoria externa para avaliar e reforçar seus controles de segurança.

Ações do Banco Central: Suspensão de Instituições Financeiras

Em resposta imediata ao ataque, o Banco Central determinou que a C&M desligasse o acesso das instituições financeiras às suas infraestruturas operacionais. Adicionalmente, o BC suspendeu um total de seis instituições financeiras sob suspeita de terem recebido parte dos recursos desviados no ataque: Transfeera, Soffy, Nuoro Pay, Voluti Gestão Financeira, Brasil Cash Instituição de Pagamento S.A. e S3 Bank Instituição de Pagamento S.A..

Essas suspensões, que podem durar até 60 dias, são medidas preventivas fundamentadas no Artigo 95-A da Resolução 30 do Banco Central, que concede à autoridade monetária o poder de suspender participantes do Pix cuja conduta coloque em risco o funcionamento regular do sistema.

O Banco Central fez questão de reiterar que nenhum de seus sistemas foi comprometido e que o Pix continua operando normalmente para os clientes de outras instituições financeiras. As investigações estão em andamento, sendo conduzidas pela Polícia Civil de São Paulo e pela Polícia Federal.

Novas Regras e Medidas de Segurança do Banco Central

Em paralelo aos desafios impostos por incidentes de segurança, o Banco Central do Brasil tem trabalhado ativamente na implementação de novas regras e no aprimoramento das medidas de segurança do Pix.

Critérios de Exclusão e Mudanças

Novas regras de segurança para as chaves Pix entraram em vigor em 1º de julho de 2025. Essas diretrizes exigem que as instituições financeiras e de pagamento verifiquem as informações vinculadas às chaves Pix com a base de dados da Receita Federal.

O objetivo primordial é prevenir fraudes, como a inclusão de dados de pessoas falecidas em chaves de terceiros, uma tática que criminosos têm explorado devido a erros cadastrais em algumas instituições. A intenção principal é inibir o uso de chaves com nomes inconsistentes em relação aos registros da Receita Federal (para CPFs e CNPJs) e impedir a transferência de chaves para terceiros (no caso de chaves aleatórias e de e-mail). Estima-se que essas medidas impactarão cerca de 1% das chaves Pix ativas.

Os critérios de exclusão para pessoas físicas (chaves CPF) incluem CPFs com grafia inconsistente (cerca de 4,5 milhões), de pessoas falecidas (3,5 milhões), CPFs suspensos (30 mil), cancelados (20 mil) e nulos (100). Para pessoas jurídicas (chaves CNPJ), os critérios abrangem CNPJs inativos (984.981), cancelados (651.023) e suspensos (33.386).

As instituições financeiras e de pagamento são agora obrigadas a verificar o cadastro sempre que houver um procedimento relacionado a chaves Pix, como registro, mudança de informações, pedido de portabilidade ou reivindicação de posse, e devem excluir a chave se irregularidades forem encontradas. É fundamental ressaltar que a inconformidade de dados cadastrais de CPF e CNPJ não está relacionada ao pagamento de tributos ou à situação de “nome sujo”, mas sim à identificação cadastral do titular na Receita Federal.

Houve também mudanças específicas para certos tipos de chaves: chaves aleatórias não poderão mais ter informações vinculadas alteradas, exigindo que o usuário as exclua e crie uma nova com os dados atualizados. Chaves do tipo e-mail não poderão mais mudar de titular a partir de abril.

Contudo, chaves vinculadas a número de celular continuarão a poder mudar de titular e de conta, uma flexibilidade mantida pelo BC devido à frequência com que as pessoas trocam de números de telefone, especialmente em linhas pré-pagas. No geral, essas medidas visam impedir que criminosos usem CPFs e CNPJs suspensos, cancelados ou nulos em golpes.

Outras Medidas de Proteção e Penalidades para Instituições

O Banco Central também estabeleceu que as instituições financeiras serão obrigadas a enviar um “alerta de golpe” aos clientes em casos de transações atípicas. Embora a data exata de entrada em vigor ainda não tenha sido definida, essa norma passará a valer seis meses após a publicação das alterações no manual de uso do sistema.

Além disso, foi recomendada e aceita a criação de uma multa de R$ 100 mil para os participantes do sistema que descumprirem as regras relacionadas a chaves Pix, sem possibilidade de isenção.

Essa penalidade, que também vigorará seis meses após ajustes no manual, tem como objetivo compelir as instituições a implementar corretamente os mecanismos de segurança para registro, portabilidade, reivindicação de posse e alteração de informações de chaves, substituindo uma penalidade anterior de menor valor e com possibilidade de isenção. O BC tem demonstrado um compromisso contínuo em discutir e implementar aperfeiçoamentos no sistema para garantir maior segurança nas operações via Pix e evitar fraudes.

A Evolução do Pix: Novas Funcionalidades e o Pix Parcelado

O Pix, desde seu lançamento, tem demonstrado uma notável capacidade de evolução, com o Banco Central buscando constantemente expandir suas funcionalidades para atender a novas demandas do mercado e promover a inclusão financeira. A mais aguardada dessas inovações é o Pix Parcelado, que promete revolucionar a forma como os brasileiros realizam compras a prazo.

Lançamento e Funcionamento do Pix Parcelado

O Pix Parcelado, também conhecido como Pix Garantido ou Pix Crédito, tem previsão de lançamento para setembro de 2025. Essa nova funcionalidade permitirá aos usuários obter crédito para parcelar suas transações, operando de forma análoga a um cartão de crédito parcelado com juros.

A grande vantagem é que o recebedor da transação terá acesso imediato ao valor total da compra, enquanto o pagador poderá dividir o pagamento em parcelas mensais, com o acréscimo de juros. A expectativa é que as taxas de juros do Pix Parcelado sejam competitivas, possivelmente iguais ou até menores que as de parcelamentos sem juros no cartão de crédito.

O principal do Banco Central com essa funcionalidade é estimular o uso do sistema de pagamentos instantâneos no varejo. O Pix Parcelado poderá ser utilizado em qualquer tipo de transação Pix, incluindo transferências entre pessoas físicas e pagamentos em estabelecimentos comerciais.

Outras Inovações Futuras

Além do Pix Parcelado, o Banco Central já anunciou outras funcionalidades futuras que prometem expandir ainda mais a utilidade e a segurança do sistema. Uma delas é o Pix em Garantia, previsto para 2026. Essa funcionalidade permitirá que empresas ofereçam recebíveis futuros de Pix como garantia em operações de crédito, facilitando o acesso a financiamentos. É importante notar que o Pix em Garantia será exclusivo para estabelecimentos comerciais e empresas, não alterando a forma como as pessoas físicas utilizam o Pix.

Outra inovação é o autoatendimento do Mecanismo Especial de Devolução (MED), com previsão para 1º de outubro de 2025. Essa funcionalidade modernizará o processo de contestação de transações Pix em casos de fraudes, golpes e crimes.

Atualmente, o MED já é um mecanismo exclusivo do Pix criado para facilitar as devoluções em caso de fraudes, aumentando as possibilidades de a vítima reaver os recursos. Com o autoatendimento, os usuários poderão contestar transações de forma simples e intuitiva diretamente nos aplicativos dos bancos, tornando o processo totalmente digital e eliminando a necessidade de contato com o atendimento da instituição financeira.