Apesar de o governo considerar que o episódio do ataque de hackers à C&M, empresa que faz a conexão de fintechs e outras instituições de pagamento com o Banco Central, não abalou a imagem do PIX, as regras para atuação com o sistema de pagamento instantâneo serão apertadas.

+ BC suspende mais 3 instituições do Pix após desvio milionário; entenda o ataque

Segundo fontes ouvidas pelo PlatôBR, algumas mudanças já aprovadas pelo Banco Central no ano passado que estão entrando em vigor agora e, outra, no início do ano que vem, já atuam no sentido de aumentar o rigor das instituições que operam com o Pix. Porém, a avaliação será possível fazer mais a partir do aprendizado obtido com este episódio.

“O patrimônio mais valioso do arranjo de pagamento é exatamente a confiança que o usuário tem nele”, diz um interlocutor oficial, ressaltando ainda que, como nenhum usuário final do Pix foi afetado neste ataque cibernético, e também não há uma crise de liquidez, o episódio não arranha a imagem do produto nem há motivos para as pessoas terem desconfiança a partir de agora. Entretanto, admite que “houve um elo da cadeia que se mostrou frágil” e, por conta disso, uma reflexão sobre as lições aprendidas vai gerar os novos aprimoramentos. “Certamente vamos aumentar, e muito, a diligência”, diz.

No final de 2024, o Banco Central anunciou aumento na exigência do capital social mínimo para uma instituição operar o Pix. Passou de R$ 1 milhão para R$ 5 milhões, mas a mudança só passará a valer a partir de 1º de janeiro de 2026. Outra medida entrou em vigor no início deste mês e prevê que todos os participantes do Pix, seja uma instituição fiscalizada diretamente pelo BC ou não, terá que enviar demonstrações financeiras e prestar contas para supervisão da autoridade monetária. Com isso, aumenta a quantidade de informações disponíveis para a fiscalização das empresas e dos clientes que operam no sistema.

O ataque à C&M está sendo considerado o maior da história recente do sistema financeiro brasileiro e já fez com que três instituições que operavam com Pix fossem desligadas. E esse número ainda poderá aumentar com o andamento das investigações. A política já prendeu um suspeito, confirmando informação antecipada pelo PlatôBR de que colaboradores ligados à empresa poderiam estar envolvidos, já que o nível de exigência de instituições que operam no SPI (Sistema de Pagamentos Instantâneos) incluem várias camadas de segurança que exigem conhecimentos específicos.

As movimentações fraudulentas foram descobertas a partir do alerta feito por um banco de que um cliente havia recebido uma transferência atípica, no valor de R$ 18 milhões às 4h da última segunda-feira, 30, conforme antecipou o Brazil Journal. Até agora, estima-se que a fraude tenha movimentado R$ 800 milhões de oito instituições, mas esse valor ainda não é definitivo. O montante final só deverá ser conhecido com o avanço das investigações.

Leia mais no PlatôBR.