O ano de 2025 evidenciou uma série alarmante de ataques cibernéticos contra instituições ligadas ao sistema de pagamentos brasileiro, revelando fragilidades graves na segurança. O caso mais emblemático foi o ataque à C&M Software, provedora de infraestrutura tecnológica do Pix, que resultou no desvio de valores expressivos das contas reserva no Banco Central, com prejuízo estimado entre R$ 400 milhões e até R$ 3 bilhões. Em julho, operações conduzidas pela Polícia Federal e pelo Ministério Público de São Paulo recuperaram apenas cerca de R$ 5,5 milhões em criptomoedas, valor simbólico diante da dimensão do golpe. Outros incidentes reforçam a gravidade do problema: a Sinqia registrou prejuízo estimado em R$ 710 milhões; a fintech Monetarie (Monbank) sofreu desvio de R$ 4,9 milhões; e novos alertas envolveram instituições como a E2 Pay e o Tribanco. Esses episódios se somam a uma realidade em que bancos no Brasil são alvo médio de cerca de 1.774 ataques cibernéticos por semana, e o setor financeiro acumulou perdas de R$ 2,3 trilhões em 2024.
Diante desse cenário, o Banco Central lançou medidas emergenciais que impactaram diretamente clientes e instituições financeiras. A principal delas foi a limitação de R$ 15 mil por transação em Pix e TED, aplicável a instituições de pagamento não autorizadas e empresas conectadas ao sistema por meio de prestadores de serviços tecnológicos (PSTIs). Embora esse teto cubra 99% das operações de pessoas jurídicas e esteja acima da média das transações de pessoas físicas, ele restringe a agilidade de empresas que lidam com valores mais altos, obrigando a fracionar operações e encarecendo processos. Além disso, diversas instituições foram temporariamente suspensas do sistema, e o prazo para regularização de autorização junto ao Banco Central foi antecipado de 2029 para 2026, aumentando a pressão regulatória.
As consequências dessas medidas são ambíguas. De um lado, reduzem a eficiência operacional, criam barreiras à inovação e elevam custos de conformidade, especialmente para fintechs e startups que dependem de conectividade via PSTIs. De outro, elevam a segurança sistêmica, dificultam a ação criminosa em grande escala e fortalecem a supervisão regulatória. A lógica adotada pelo Banco Central foi privilegiar a estabilidade do sistema, ainda que isso imponha sacrifícios à agilidade e à liberdade transacional.
Os ataques cibernéticos recentes evidenciam vulnerabilidades significativas da infraestrutura financeira digital brasileira. A imposição de limites transacionais pelo Banco Central, embora necessária em caráter emergencial, reflete uma incapacidade estrutural de garantir segurança sem restringir o uso dos sistemas de pagamento. O impacto se faz sentir tanto nas operações internas das empresas quanto nos serviços oferecidos aos clientes, que agora lidam com travas operacionais e incertezas regulatórias. Ao mesmo tempo, a resposta regulatória promove um ambiente mais controlado e previsível, ainda que à custa de inovação e eficiência.
Para avançar, será preciso investir em segurança cibernética robusta, incluindo seguros digitais e monitoramento contínuo, fortalecer a governança dos PSTIs e adotar políticas que equilibrem segurança e eficiência sem penalizar os usuários finais ou criar barreiras exageradas ao desenvolvimento de novas soluções financeiras. O desafio do Banco Central é superar o papel de apenas reagir a crises e assumir uma postura de prevenção estrutural, capaz de proteger tanto o sistema quanto os clientes.
- SOBRE O AUTOR
- ARTIGOS RECENTES DO AUTOR
