Pix sob ataque: a segurança dos fornecedores define o futuro do sistema financeiro

Os recentes ataques à infraestrutura do Pix expuseram uma vulnerabilidade sistêmica que todo CIO e CISO precisa entender: os Prestadores de Serviços de Tecnologia da Informação (PSTIs) tornaram-se o alvo preferencial de organizações criminosas que profissionalizaram suas operações cibernéticas.

Crime organizado 2.0

Em agosto de 2025, a invasão à Sinqia tentou desviar centenas de milhões de reais. Dois meses antes, o ataque à C&M Software forçou o Banco Central a suspender três instituições do Pix por até 60 dias. O padrão se repete: criminosos comprometendo fornecedores para obter credenciais administrativas e atacar diretamente as contas de reserva que processam movimentações financeiras.

A mudança de cenário é preocupante. Organizações criminosas tradicionais migraram para o cibercrime com estruturas sofisticadas: criam fintechs de fachada para receber valores desviados, utilizam redes de laranjas para pulverizar quantias roubadas e exploram a velocidade do Pix para dificultar o rastreamento. Não falamos mais de hackers isolados — falamos de logística financeira complexa para monetização em escala.

A falha crítica que ninguém quer discutir

Especialistas identificaram o problema mais grave: os certificados digitais e chaves privadas que assinam transações em nome dos bancos ficam sob custódia dos PSTIs, não dos próprios bancos. Quando um PSTI é comprometido, atacantes obtêm acesso legítimo para executar operações como se fossem instituições financeiras. É um protocolo de segurança fundamentalmente quebrado — a chave que assina a transação pelo banco está em poder do fornecedor, não da própria instituição.

Outras vulnerabilidades críticas incluem: gestão inadequada de identidades privilegiadas (PAM inexistente ou falho), ausência de arquitetura Zero Trust, monitoramento fragmentado sem correlação entre logs de fornecedores e clientes, MFA incompleta que não cobre APIs e contas de serviço e falta de gestão de atualizações e correções de falhas sistemas internos.

Resolução BCB 498: o divisor de águas

Em 5 de setembro de 2025, o Banco Central publicou a Resolução 498 estabelecendo novos requisitos para PSTIs, com prazo de adequação de apenas 4 meses:

• Seguro cibernético obrigatório com cobertura para fraude e incidentes de segurança; 
• Capital mínimo de R$ 15 milhões;
• Limite de R$ 15 mil por transação para quem usa PSTIs não credenciados;
• Auditoria externa anual obrigatória;
• Proibição expressa de compartilhamento de chaves privadas;
• Diretores dedicados para segurança cibernética, gestão de riscos e compliance;
• Antecipação brutal de prazo: maio de 2026 (antes era dezembro de 2029).

O problema do seguro cibernético

Aqui está o desafio que poucos estão discutindo abertamente: seguradoras não aceitam qualquer instituição. As apólices exigem comprovação robusta de maturidade — controles implementados e operacionais, não apenas planos ou intenções. Sem PAM adequado, MFA resistente a phishing, SIEM, políticas documentadas de resposta a incidentes, backup imutável e custódia apropriada de certificados, instituições enfrentam prêmios proibitivos ou simplesmente têm cobertura negada.

Segundo especialistas do mercado segurador, muitas empresas sequer mensuram corretamente seus riscos digitais, e agora terão que estruturar políticas de compliance e contratação de apólices adequadas em tempo recorde.

O que implementar (e rápido)

Identity-First Security: PAM com segregação absoluta por cliente, MFA resistente a phishing, just-in-time access e monitoramento contínuo

Custódia adequada de certificados: chaves privadas sob controle exclusivo das instituições clientes usando HSM (Hardware Security Module)

Arquitetura Zero Trust: microsegmentação, validação contínua de contexto e menor privilégio em todas as integrações

Detecção e Resposta: SIEM com correlação entre fornecedores e clientes, threat intelligence compartilhado e playbooks testados

Gestão de patches: aplicação imediata de correções críticas, inventário atualizado de ativos e automação do ciclo de updates.

Resiliência acelerada: a única resposta viável

Implementar essa transformação em 4 meses, atendendo simultaneamente BC e seguradoras, excede a capacidade da maioria das organizações. Não é questão de comprar ferramentas — é orquestrar implementação integrada de controles complexos, estabelecer governança documentada e criar processos operacionais robustos enquanto mantém operações críticas funcionando. 

O momento exige abordagens estruturadas de aceleração de resiliência: programas que combinam diagnóstico rápido de gaps, implementação ágil de controles prioritários, operação gerenciada imediata e preparação simultânea para auditoria e contratação de seguros. A expertise de quem já navegou cenários similares — entendendo tanto os requisitos técnicos quanto as expectativas de reguladores e seguradoras — reduz meses de tentativa e erro para semanas de execução focada.

Tentar construir isso internamente do zero pode levar mais de um ano. PSTIs e instituições financeiras não têm esse tempo.

A decisão estratégica

O Banco Central estabeleceu tolerância zero. Instituições sem maturidade comprovada já enfrentam restrições operacionais — suspensões e limites de R$ 15 mil. Com apenas 9 PSTIs conectando mais de 900 participantes do Pix, onde um fornecedor comprometido derruba dezenas de instituições, e com crime organizado operando estruturas sofisticadas de monetização, a escolha de como acelerar a resiliência deixou de ser decisão técnica para se tornar questão de sobrevivência do negócio.

A janela é de 4 meses. A pergunta para CIOs e CISOs não é mais “se” investir em segurança robusta, mas “como” realizar essa transformação de forma ágil e efetiva antes que seja tarde demais — tanto para o regulador quanto para as seguradoras.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!