Um novo ataque impactou o ecossistema financeiro brasileiro com uma tentativa de desvio de cerca de R$710 milhões através de transferências via Pix. Este incidente, ocorrido em 29 de agosto de 2025, se tornou o segundo caso de ataque à cadeia de suprimentos (Supply Chain) que aconteceu em menos de 2 meses no Brasil focando o PIX. Ataques à cadeia de suprimentos são tipos de ataque no qual fornecedores são utilizados como porta de entrada para que atacantes possam atingir outras empresas.
Estamos atualizando este caso em tempo real. Entenda o que há de mais relevante até o momento e como isso pode influenciar a forma como as empresas devem olhar para segurança na relação com seus parceiros.
Para compreender toda a evolução desde o início, basta avançar além das atualizações.
Atualização – 05/09/2025
No dia 05 de setembro, o Banco Central divulgou novas medidas para aprimorar a segurança do ecossistema de PSTIs, incluindo provedores e instituições financeiras. Dentre elas é possível destacar:
1. As instituições que não possuem aprovação direta do Banco Central ou que utilizam um PSTI em não conformidade como intermediário para se conectar na RSFN terão um limite de até 15 mil reais em transferências utilizando TED e Pix.
Esta medida entra em vigor imediatamente e só será removida quando a instituição e o PSTI comprovarem que estão atendendo todos os novos requisitos.
2. Toda instituição de pagamentos deverá ter autorização prévia do Banco Central para operar no Brasil, sendo que o prazo final para solicitar essa autorização foi antecipado de 2029 para maio de 2026.
3. Foi alterada a legislação para permitir que somente instituições já autorizadas operem o Pix em nome das que não possuem essa permissão. Com a mudança, foi informado que só poderão ser enquadrados como responsáveis pelo Pix para instituições não autorizadas os integrantes dos segmentos S1, S2, S3 ou S4, não incluindo cooperativas.
Estes segmentos referem-se aos tamanhos das instituições, conforme documentação.
4. O BCB informou que todas as instituições deverão ter um certificado técnico, o qual deve ser emitido por uma empresa independente, para garantir que todos os novos requisitos estão de acordo.
5. Em uma alteração nos requerimentos de governança e de gestão de riscos dos PSTIs, aumentou o capital mínimo necessário das empresas que desejam fornecer este tipo de serviço, sendo agora necessário, pelo menos, R$ 15 milhões de capital. O BCB concedeu até quatro meses para os provedores se adequarem.
Estes novos controles mostram a preocupação do Banco Central em não somente melhorar a segurança do ambiente como um todo, mas também combater práticas criminosas que exploram o sistema financeiro brasileiro.
Introdução
Na sexta-feira (29/08/2025) foi divulgado um ataque a uma empresa que oferece serviços de banking as a service (BaaS), isto é, provisiona infraestrutura para outras empresas do sistema financeiro operarem. A organização é conhecida por ser uma das nove empresas aprovadas como Provedores de Serviços de Tecnologia da Informação (PSTI), estes são fornecedores aprovados pelo Banco Central (BCB) para fornecer software de comunicação entre o BCB e outras instituições financeiras, como bancos.
Neste caso, as PSTIs estão integradas à cadeia de suprimentos do Pix, conforme documentação oficial do BC. O fluxo de dados entre PSTIs, Banco Central e outros bancos pode ser visto no diagrama oficial do BC, conforme abaixo:
Como pode ser observado, a PSTI realiza a comunicação entre o Sistema de Pagamento Instantâneo (SPI) do BCB com as outras instituições financeiras, por meio da Rede do Sistema Financeiro Nacional (RSFN). Esta comunicação permite que o serviço do Pix seja ofertado aos clientes das instituições financeiras.
Segundo a documentação do BCB, a comunicação com o SPI é feita por meio de APIs, as quais necessitam de certificados válidos para permitir que estas comunicações sejam estabelecidas, conforme afirma a documentação do BC: “Tanto para autenticação e criptografia da conexão com as APIs do Pix como para assinatura digital das mensagens, todos os participantes devem utilizar certificados”.
Com base nestas informações, é possível classificar este caso como um ataque à cadeia de suprimentos dentro do sistema financeiro brasileiro, mais especificamente no meio de pagamentos instantâneos, pois há uma hipótese provável de que o ataque buscou afetar não diretamente um banco ou o BCB, mas sim o ambiente de forma sistêmica, comprometendo um intermediário de várias partes do SPI.
O que aconteceu?
Segundo um documento oficial enviado a Comissão de Valores Mobiliários dos Estados Unidos, foi divulgado que na sexta-feira, 29/08/2025, a empresa detectou “atividade suspeita” e limitada ao seu ambiente do Pix, a qual informou que interrompeu a conexão com o sistema do Banco Central (BCB). A organização afirma que o incidente está restrito ao Pix, afetando somente dois clientes da empresa e não existem evidências de que o ataque tenha afetado dados pessoais.
Segundo esse mesmo documento, é possível que aproximadamente R$710 milhões em transações não autorizadas foram processadas no ambiente Pix da empresa, onde parte desta transação foi bloqueada pelo BC. Como resposta, o Banco Central mantém a organização desligada do acesso até a reconstrução e revisão do ambiente. A empresa atacada afirma estar executando as ações necessárias em um novo ambiente, com monitoramento e controles reforçados, enquanto as investigações prosseguem.
Bancos renomados confirmaram o roubo e declararam que clientes não foram afetados e que as transações ligadas ao ataque envolveram contas operacionais/contas no BCB para liquidação, suspendendo saídas como medida preventiva. Em um comunicado oficial, um banco cliente da empresa atacada informou que as contas afetadas “são mantidas junto ao Banco Central e utilizadas exclusivamente para liquidação interbancária”, no incidente do Pix de julho deste ano, este tipo de conta também foi afetada.
No documento oficial enviado ao governo dos EUA, afirma-se que, em uma análise forense preliminar do ambiente, há indícios que as transações não autorizadas foram “feitas no ambiente Pix da instituição atacada por meio da exploração de credenciais legítimas de fornecedores de TI, a empresa já encerrou o acesso a essas credenciais”, configurando a técnica T1078 do MITRE ATT&CK. Importante ressaltar que esse foi um resultado preliminar, ainda não existem todas as informações do caso.
Entenda mais sobre a empresa atacada
Trata-se de uma empresa brasileira de tecnologia especializada em software e serviços para o mercado financeiro, atuando principalmente como BaaS. Seu portfólio de clientes cobre bancos, gestoras/fundos, previdência e consórcios, oferecendo soluções “fim a fim” (da ponta do cliente ao back-office). Em 2023, ela foi adquirida por uma multinacional de meios de pagamento.
Dentre múltiplos serviços oferecidos pela empresa, está o de PSTI, para este serviço, a própria empresa afirma que utiliza infraestrutura de nuvem de terceiros.
Foi possível observar que toda a parte de integração dos bancos com o serviço de PSTI era feito com APIs. Não identificamos mais informações de como seria feita a segurança da comunicação com essas APIs, porém, se seguir o mesmo padrão de segurança do BCB, é possível que seja feita por meio de certificados.
Recomendações
Considerando que ainda não existem confirmações oficiais de como ocorreu o ataque ou a dinâmica do incidente, não é possível fazer recomendações específicas. Contudo, é possível mitigar ameaças ao ambiente:
- Verificar internamente se existe comunicação direta do ambiente com a empresa atacada;
- Identificar formas de controlar saídas monetárias consideráveis de contas internas;
- Utilizar princípio do privilégio mínimo em todos os sistemas internos, principalmente naqueles ligados a pagamentos como, por exemplo, APIs ligadas ao Pix;
- Realizar auditorias regulares para garantir a eficácia de controles de segurança aplicáveis;
- Avaliar com fornecedores PSTI a maturidade de segurança do ambiente deles, assim como solicitar recorrentemente relatórios de testes de invasão, independentes, realizados nos ambientes internos;
- Caso sua organização utilize contas de liquidação interbancária no Banco Central, é necessário mapear controles de segurança para diminuir riscos relacionados a este tipo de ataque.
Além das recomendações específicas, seguem outras gerais para aprimorar a segurança do ambiente de forma mais ampla:
- Controle rígido de acesso e boas políticas de IAM (Gestão de Identidade e Acesso): é fundamental garantir que cada funcionário tenha acesso apenas aos sistemas e dados estritamente necessários para sua função (“princípio do privilégio mínimo”).
Credenciais, levando em consideração a análise forense inicial, devem ser protegidas com camadas adicionais de segurança, como autenticação multifator, e ter suas permissões revisadas regularmente. Além disso, também é de extrema importância garantir a rastreabilidade das ações executadas internamente;
- Monitoramento e logs no ambiente: manter registros detalhados (logs) de todas as atividades realizadas nos sistemas é vital para a rastreabilidade. A capacidade de monitorar e auditar acessos, pode ajudar a identificar comportamentos anômalos;
- Monitoramento de credenciais e conscientização em segurança: conforme análise inicial, é possível que o ataque tenha ocorrido através do uso indevido de credenciais. Dessa forma, ataques podem acontecer através de credenciais obtidas por atacantes de múltiplas formas, sendo a principal delas através do uso de malware e táticas de engenharia social, como phishing.
Conclusão
Considerando que foi o segundo ataque em uma PSTI num período de dois meses, percebe-se o risco real de ataques à cadeia de suprimentos. Além disso, estes ataques acabam colocando a segurança de outras instituições financeiras privadas em risco, levando em consideração que devem manter comunicação direta com estas PSTIs para ofertar o serviço de Pix aos seus clientes.
Este caso reforça a necessidade de manter controles de segurança claros e rígidos, em todas as instituições envolvidas, desde o governamental até o meio privado, assim como principalmente os intermediários.
Para todas as empresas que desejam melhorar sua segurança, este ataque demonstra a importância do processo de avaliação de segurança de fornecedores, solicitando recorrentemente relatórios de segurança e testes de invasão independentes em seus ambientes.
Caso a técnica do uso de credenciais válidas de um fornecedor se confirme, é possível mapear esta como uma grande ameaça à segurança das relações empresariais entre fornecedor e cliente. Contudo, seguimos aguardando mais informações sobre isso.
Levando em consideração que duas de nove empresas PSTIs já foram atacadas em um curto período de tempo, com um impacto e alvo (contas de liquidação interbancária) semelhantes, é necessário que as demais empresas do ramo façam planos de segurança emergenciais. Por fim, recomendamos que clientes diretos de PSTIs solicitem imediatamente relatórios de segurança e avaliem o nível de acesso que os fornecedores possuem nas redes internas.
