Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital
Publicado em 01 de setembro de 2025
O recente ataque hacker à Sinqia, empresa provedora que conecta instituições financeiras ao Pix, resultou em um desvio de aproximadamente R$ 420 milhões. Em menos de dois meses, incidentes semelhantes já somam mais de R$ 1,38 bilhão em prejuízos, incluindo o caso da C&M Software. Esses números alarmantes não apenas colocam em xeque a robustez tecnológica do sistema, mas também expõem um problema estrutural: a combinação entre falhas técnicas e erros humanos que favorecem ataques dessa magnitude.
O Pix foi concebido para ser um sistema seguro, rápido e inclusivo. No entanto, a sua operacionalização depende de uma rede de provedores terceirizados que fazem a ponte entre o Banco Central e as instituições financeiras. É justamente nesse ponto de intermediação que surgem vulnerabilidades. Em vez de explorar brechas no núcleo do sistema do Banco Central, os criminosos aproveitam fragilidades nas empresas parceiras, que nem sempre contam com auditorias constantes, protocolos de criptografia avançados ou equipes especializadas em cibersegurança.
Mas não é apenas a tecnologia que falha. Grande parte desses ataques é possibilitada por falhas humanas, como:
- falta de monitoramento contínuo das transações suspeitas;
- gestão ineficaz de acessos administrativos;
- descuido na aplicação de atualizações e patches de segurança;
- terceirização sem critérios claros de compliance digital;
- ausência de cultura organizacional voltada à segurança.
Essas vulnerabilidades criam um ambiente em que criminosos conseguem explorar brechas mínimas, como configurações incorretas de servidores, credenciais de acesso mal gerenciadas ou simples erros de supervisão. Em muitos casos, os hackers sequer precisam de técnicas sofisticadas: basta aproveitar descuidos administrativos ou falhas de treinamento para invadir sistemas críticos.
Do ponto de vista jurídico, o problema é ainda mais grave. A Constituição Federal, em seu artigo 37, impõe à administração pública o dever de eficiência. A LGPD (Lei 13.709/2018) obriga instituições a adotarem medidas técnicas e administrativas capazes de proteger dados pessoais contra acessos não autorizados. Quando o sistema financeiro sofre um ataque por negligência de provedores ou falhas de governança, abre-se espaço para responsabilização objetiva tanto das empresas envolvidas quanto, em determinados cenários, do próprio Estado.
Os ataques recentes mostram que a fraqueza não está no Pix em si, mas na cadeia de empresas que orbitam ao redor dele. Enquanto o Banco Central bloqueia bilhões para mitigar prejuízos, os criminosos exploram justamente o elo mais frágil: a gestão humana da tecnologia. Isso evidencia que a segurança digital deve ser entendida não como gasto, mas como investimento estratégico para garantir a confiança da população em um sistema que movimenta trilhões de reais por ano.
É urgente fortalecer as barreiras de proteção com três pilares: tecnologia de ponta, auditorias constantes e, sobretudo, capacitação humana. Sem profissionais preparados e uma cultura sólida de segurança, nenhum firewall ou protocolo será suficiente para impedir ataques. A lição é clara: não são apenas máquinas que falham, mas pessoas. E, na era digital, a negligência humana pode custar bilhões.
Fontes: ItForum – “Sinqia sofre ataque hacker e R$ 420 milhões são desviados” | Exame – “Hackers desviam R$ 420 milhões em ataque ao sistema Pix” | Gazeta do Povo – “Ataque hacker atinge empresa que conecta bancos ao Pix” | Click Petróleo e Gás – “Falhas em provedores do Pix já somam R$ 1,38 bilhão em prejuízos”