Embora o governo minimize o impacto de Ataque cibernético a C&MEmpresa que conecta fintechs ao banco central, o episódio desencadeou Um processo de revisão e endurecimento das regras de segurança e inspeção de pix.
A autoridade monetária já havia aprovado mudanças regulatórias em 2024, mas agora, dada a maior ofensiva de hackers contra o sistema financeiro recente, as medidas ganham novo peso.
De acordo com fontes próximas ao banco central ouvido pelo portal PlatôO principal objetivo é Preservar a confiança do usuário final em pixSistema de pagamento instantâneo que se tornou parte da vida cotidiana de milhões de brasileiros desde o seu lançamento em 2020.
Leia mais:
Depois de atacar o hacker no banco central, os postos do governo planejam rastrear criptors
A confiança é o pilar de Pix, diz a fonte oficial
De acordo com um interlocutor do banco central, “o ativo mais valioso do acordo de pagamento é exatamente a confiança que o usuário tem nele”. Portanto, mesmo com o ataque, a percepção institucional é que Pix permanece seguro – especialmente porque Nenhum cliente final foi diretamente afetadoE não houve crise de liquidez.
No entanto, a mesma fonte admite que “havia um elo de corrente que era frágil”, referindo -se a CMcuja estrutura técnica permitiu a violação pela invasão. O episódio revelou Vulnerabilidades em operadores terceirizados do SPI (sistema de pagamento instantâneo), mesmo com várias camadas de segurança necessárias.
O ataque: como a fraude foi descoberta
Movimentos fraudulentos foram detectados após um aviso emitido por um banco, que identificou uma transferência atípica de R $ 18 milhõesrealizado às 4 da manhã de segunda -feira, 30 de junho. A suspeita chamou um protocolo de investigação que culminou no Descoberta de uma fraude estimada de R $ 800 milhõesenvolvendo pelo menos Oito instituições C&M conectado financeiro.
Ainda não há confirmação da quantidade exata envolvida, mas o número já é considerado o maior da história recente do sistema financeiro brasileiro. A polícia federal já prendeu um suspeito e descobre se Funcionários da C&M participou diretamente da operação criminal.
Três instituições já foram desconectadas de Pix
Dada a gravidade do episódio, o banco central Desligou três instituições Isso operava com PIX e teve um relacionamento com a C&M. Fontes internas indicam que o número pode crescer com o avanço das descobertas. Sanções mostram que a autoridade monetária está disposta a agir firmemente diante de falhas operacionais nos participantes do sistema.
Regras mais rígidas começam a ocorrer
O requisito de capital social mínimo aumenta até 2026
Uma das principais medidas anunciadas pelo banco central em 2024 e que se conecta diretamente aos riscos revelados pelo ataque, é o aumento no capital mínimo para operar com o pix. O valor atual de R $ 1 milhãovai se tornar R $ 5 milhões a partir de janeiro de 2026.
O objetivo da medida é garantir que Somente instituições com robustez financeira e estrutura técnica compatível Tenha acesso ao sistema de pagamento instantâneo, reduzindo os riscos de fragilidade operacional.
Responsabilidade obrigatória de 2025
Outra mudança importante, que entrou em vigor este mês, determina que Todas as instituições que participam de pixmesmo aqueles que não são supervisionados diretamente pelo BC, deve ser responsável e enviar demonstrações financeiras regulares.
A medida expande o monitoramento em fintechs e plataformas intermediárias, como a própria C&M, e aumenta o Capacidade de rastreamento e inspeção pelo banco central. O fluxo de dados agora está centralizado, permitindo uma maior capacidade de detectar irregularidades.
O que muda para pix fintechs e operadores
Novos requisitos representam um marco de endurecimento regulatórioespecialmente para Startups e pequenas instituições. O setor de fintech, que teve um amplo crescimento impulsionado por Pix, terá que se adaptar a um ambiente mais rígido, com conformidade mais intensa, governança e solvência.
Entre os impactos esperados estão:
- Aumento dos custos operacionais manter a conformidade regulatória;
- Consolidação de mercadosaída de empresas menores ou fusões;
- Maior entrada de capital em empresas que buscam manter a autorização para operar com PIX;
- Revisão de contratos com provedores de tecnologia terceirizados.
Lições de caso C&M: Um elo fraco na cadeia segura
O caso de C&M mostrou que, embora o pix seja altamente protegido em seu Estrutura centralizada no banco centralO sistema como um todo depende de Vários links de cadeiamuitos dos quais não estavam sob supervisão direta da autoridade monetária até então.
O fracasso revelou que Um ataque bem -direcionado a um intermediário tecnológico Ele pode abrir violações significativas, mesmo que o usuário final ou a estrutura do banco central permaneça intacto.
A vulnerabilidade foi agravada por Alto nível de especialização técnica necessária para operar o SPIo que levanta a suspeita de envolvimento interno – tese reforçada pela prisão já realizada e a investigação sobre possível conluio entre funcionários de C&M e hackers externos.
O que o banco central diz sobre o impacto na imagem da pix
Apesar da gravidade do incidente, o banco central reforça que a imagem da pix não foi afetadaComo o sistema reagiu prontamente, isolando o problema, identificando os autores e protegendo os usuários finais.
De acordo com o BC, o A credibilidade do sistema permanece altae os indicadores de confiança e uso não mostraram queda significativa após o incidente. No entanto, o episódio servirá como base para “Melhorias estruturais”especialmente em relação a Diligência, auditoria e segurança de ponta a ponta.
Tendência de maior regulamentação no sistema financeiro digital
O caso da C&M se encaixa em um contexto global de reforço de sistemas de pagamento e instituições digitais. Com o avanço de novas tecnologias financeiras, os bancos centrais e as autoridades regulatórias se intensificaram Regras de proteção cibernética, requisitos de capital e supervisão contínua.
No Brasil, isso também se alinha com a agenda do Drex (Real Digital)para a expansão de Finanças abertas e a evolução dos serviços financeiros integrados pela API. O requisito de maior robustez operacional se tornará o novo padrão.
Considerações finais
O ataque cibernético a C&M expôs fraquezas relevantes na cadeia operacional Pix, mas também serviu de gatilho para o banco central acelerar e reforçar medidas já previstas em sua agenda regulatória. A confiança no PIX foi mantida, mas com lições valiosas aprendidas.
O aumento dos requisitos de capital e o novo modelo de inspeção contínua promessa Traga mais segurança e estabilidade ao sistema financeiro digital brasileiro. Em um ambiente em que Pix se consolida como a principal forma de pagamento no país, o desafio é agora Garanta que todos os participantes, grandes ou pequenos, operem com o mesmo nível de diligência e responsabilidade.