#153: Short Takes: A fraude mais recente no Pix: quando a fraude acontece nas contas reservas
W FINTECHS NEWSLETTTER #153
👀 English Version 👉 here
👉A W Fintechs é uma newsletter focada em inovação financeira. Toda segunda-feira, à s 8:21 a.m. (horário de BrasÃlia), você receberá uma análise profunda no seu e-mail.
Bem vindo a edição Short Takes e, como o nome sugere, diferente dos deep dives, em edições como essa vou explorar diversos assuntos que, posteriormente, podem se tornar uma edição deep dive.
Short Takes é focado para empreendedores, investidores e operadores que querem insights rápidos.
Na última semana, escrevi sobre como funciona o MED, o Mecanismo Especial de Devolução, e como ele representa uma das principais tentativas do Banco Central de enfrentar o aumento das fraudes no Pix. O MED, ao lado de outras iniciativas como o GRAF e o DICT, compõe o arcabouço antifraude que vem sendo construÃdo no Brasil para lidar com um sistema de pagamentos que, embora tenha democratizado o acesso e reduzido custos, também mostrou que toda inovação carrega seus custos. Enquanto o MED foca nas transações entre pessoas fÃsicas, com mecanismos de contestação e bloqueio, o episódio mais recente de fraude revela uma camada muito mais sofisticada e menos visÃvel do problema: os ataques à s contas reservas da infraestrutura financeira, por meio de provedores de tecnologia.
Leia a edição completa da semana passado sobre como funciona as fraudes no Pix e o mecanismo de devolução 👇
Na madrugada do dia 1º de julho de 2025, um executivo da BMP, uma empresa de banking as a service, recebeu uma ligação de um banco informando que um Pix no valor de R$ 18 milhões havia sido realizado. Era 4 da manhã. Alarmado, ele foi até o escritório e, ao checar com a C&M Software, descobriu que aquilo era apenas o começo de um rombo muito maior. Em poucas horas, mais de R$ 400 milhões haviam evaporado da conta da empresa. Não se tratava de um ataque comum a usuários finais, mas de uma ação que mirou diretamente as contas reservas que instituições financeiras mantêm junto ao Banco Central para liquidação de operações entre si.
As contas reservas não são visÃveis ao público, pois não armazenam o dinheiro dos clientes diretamente, mas funcionam como o caixa das instituições no Banco Central. É por meio dessas contas que se liquida um Pix, uma TED, uma compensação. Os hackers conseguiram realizar transferências fraudulentas a partir dessas contas, utilizando credenciais legÃtimas.
A entrada dos criminosos se deu por uma prestadora de serviços de tecnologia da informação (PSTI), no caso, a C&M Software, que faz a ponte entre fintechs e o Banco Central. Bancos grandes como Itaú ou Bradesco têm conexão direta com a rede do BC, mas boa parte das fintechs terceiriza esse acesso. O PSTI fornece a mensageria, os webservices e as APIs que permitem que a instituição envie e receba ordens de pagamento no Sistema de Pagamentos Brasileiro. Foi nesse elo intermediário que a fraude se instalou. Os hackers não atacaram o sistema do Banco Central nem invadiram diretamente os servidores das fintechs, mas utilizaram credenciais de acesso legÃtimas para entrar pela porta da frente.
A C&M, como PSTI, assumia o papel de tradutora das ordens de pagamento. Os criminosos, ao se apoderarem dessa interface, passaram a emitir mensagens de transferência como se fossem a própria instituição. E, em vez de atacar clientes, miraram direto no caixa central das fintechs. A própria C&M, ao perceber a movimentação anormal, desabilitou a função Pix para as instituições afetadas. O estrago, no entanto, já estava feito. Parte do dinheiro foi convertido rapidamente em criptomoedas, principalmente stablecoins como o USDT. A SmartPay, uma das plataformas utilizadas, percebeu a movimentação atÃpica e conseguiu congelar parte dos recursos, devolvendo R$ 130 milhões à BMP. Ainda assim, o prejuÃzo lÃquido da empresa é estimado em R$ 270 milhões. A investigação ainda está sendo feito, mas uma coisa que é interessante destacar aqui é como o Pix, como infraestrutura, possibilita tanto ganhos, como também alguns riscos.
Por trás da operação fraudulenta, está uma engrenagem pouco visÃvel do sistema financeiro nacional: os Provedores de Serviços de Tecnologia da Informação. Esses prestadores, autorizados pelo Banco Central, desempenham um papel central na comunicação entre instituições financeiras e a Rede do Sistema Financeiro Nacional. São eles que operam as APIs, os sistemas de mensageria e as integrações que permitem executar pagamentos, consultar saldos, validar identidades e realizar liquidações. Em muitos casos, especialmente entre fintechs e bancos médios, os PSTIs assumem a responsabilidade por processos que antes estavam restritos ao core bancário tradicional.
Na prática, isso significa que a segurança de operações crÃticas como o envio de um Pix depende não só da infraestrutura da instituição financeira, mas também da do seu PSTI. O episódio da C&M expôs justamente essa fragilidade estrutural: os criminosos não precisaram romper camadas internas de segurança de múltiplas fintechs, nem invadir o próprio Banco Central. Bastou comprometer um ponto único de conexão (o PSTI) para acessar certificados digitais, chaves privadas e credenciais operacionais. Isso permitiu que os atacantes assinassem transações como se fossem os próprios bancos, utilizando a plataforma homologada da C&M para injetar ordens legÃtimas no SPI.
Tecnicamente, o ataque exigiu não só acesso privilegiado ao ambiente da prestadora, mas também conhecimento da arquitetura do Sistema de Pagamentos Brasileiro. As mensagens enviadas seguiam fielmente os protocolos exigidos pelo SPI, incluindo a assinatura digital com os certificados corretos. Por isso, o sistema de liquidação não viu motivo para rejeitá-las. Em sistemas de missão crÃtica, como o financeiro, essa é a linha mais tênue entre eficiência e vulnerabilidade: quando a validação se baseia na formalidade da mensagem e não na legitimidade da origem, basta que alguém consiga entrar na interface certa com a chave certa para que a fraude passe despercebida.
O episódio também revela como a fronteira entre finanças tradicionais e criptoativos está cada vez mais evidente. O dinheiro foi roubado em reais, mas fugiu por blockchain, ou seja, foi convertida em stablecoins. A detecção de anomalias nos pontos de conversão entre fiat e cripto talvez seja um dos pontos de partidas das novas regulações que estão para surgir.
O episódio de julho de 2025 será lembrado como um divisor de águas. Não só pelo valor roubado, mas pelo que ele revela sobre a natureza das ameaças atuais. Como tentei mostrar na edição da semana passado: toda inovação tecnológica, por mais fascinante que seja, também carrega a herança cultural do paÃs onde é criada, e, claramente, riscos que devem ser ponderados.
Saúde e paz,
Walter Pereira
Se você conhece alguém que gostaria de receber esta newsletter ou que seja fascinado pelas possibilidades da inovação financeira, eu agradeceria imensamente se você encaminhasse este e-mail para essa pessoa!
Disclaimer: As opiniões expressas aqui são de total responsabilidade do autor, Walter Pereira, e não refletem necessariamente as opiniões dos patrocinadores, parceiros ou clientes da W Fintechs.
e essa fragilidade estrutural estava sob responsabilidade de alguém centralizado ou é de cada participante?
como tu vê os reflexos disso?