Artigo - A importância da cibersegurança nas instituições financeiras: Lições do ataque ao Pix em 2025

Em julho de 2025, o Brasil foi abalado por um ataque cibernético de grandes proporções ao sistema Pix, o meio de pagamento instantâneo que revolucionou as transações financeiras no país. Com perdas estimadas em mais de 540 milhões de reais (cerca de US$ 98,3 milhões), o incidente expôs vulnerabilidades críticas em instituições financeiras e destacou a grande importância da cibersegurança em um mundo cada vez mais digital.

Este artigo explora o contexto do ataque, a relevância da cibersegurança para o setor financeiro, as melhores práticas para mitigar riscos e o cenário regulatório brasileiro, oferecendo uma reflexão sobre como proteger o sistema financeiro e a confiança dos brasileiros.

O ataque ao Pix: Um alerta para o setor financeiro

Em 2 de julho de 2025, hackers exploraram uma falha de segurança na C&M Software, uma empresa que conecta instituições financeiras ao Banco Central e ao sistema Pix. A brecha foi possibilitada por João Roque, um funcionário de TI que vendeu suas credenciais de acesso por cerca de US$ 2.700. Com isso, os cibercriminosos conseguiram desviar fundos de contas de reserva de instituições financeiras, transferindo-os para contas controladas por eles. Parte do dinheiro foi convertida em criptomoedas, como Bitcoin e Ethereum, utilizando plataformas como o Telegram, conforme rastreado por especialistas como Zachary Wolk (ZachXBT). O Banco Central conseguiu congelar 270 milhões de reais, mas o incidente revelou a fragilidade de elos na cadeia de fornecedores terceirizados, que muitas vezes são negligenciados em estratégias de segurança.

Esse ataque não foi um evento isolado. O Brasil enfrenta um aumento alarmante de incidentes cibernéticos. Segundo o CERT.br, foram registrados 2,3 milhões de incidentes em 2023, um aumento de 20% em relação ao ano anterior. Além disso, o país lidera os ataques de ransomware na América Latina, respondendo por mais de 50% dos casos na região, de acordo com a Check Point Research. O caso do Pix reforça a necessidade urgente de medidas robustas para proteger o setor financeiro, que lida com dados sensíveis e transações de alto valor.

Por que a cibersegurança é fundamental?

Instituições financeiras são alvos prioritários de cibercriminosos devido à natureza crítica de seus serviços e ao volume de dados pessoais e financeiros que gerenciam. O custo global do cibercrime deve alcançar US$ 10,5 trilhões até 2025, segundo a Cybersecurity Ventures, com o setor financeiro sofrendo 35% de todos os ataques, conforme o IBM X-Force Threat Intelligence Index 2020. No Brasil, a digitalização acelerada, impulsionada por iniciativas como o Pix, ampliou a superfície de ataque, tornando a cibersegurança não apenas uma questão técnica, mas também estratégica. A cibersegurança é essencial por três razões principais:

• Proteção de dados e recursos financeiros: Um único ataque pode resultar em perdas milionárias e comprometer informações sensíveis de clientes, como aconteceu no caso do Pix.

• Manutenção da confiança: A confiança dos consumidores no sistema financeiro depende de sua segurança. Incidentes como esse podem abalar a credibilidade de instituições e do próprio Pix.

• Conformidade regulatória: Leis como a Lei Geral de Proteção de Dados (LGPD), em vigor desde 2020, exigem medidas rigorosas para proteger dados pessoais, com multas de até 50 milhões de reais por infração.

  
  

Melhores práticas para proteger instituições financeiras

Para enfrentar as ameaças cibernéticas, as instituições financeiras devem adotar práticas avançadas de cibersegurança. Abaixo, algumas estratégias fundamentais:

• Controles de segurança robustos: Implementar criptografia de ponta (como AES-256), autenticação multifator (MFA), testes regulares de penetração e revisões de código para identificar vulnerabilidades.

• Monitoramento com inteligência artificial: Utilizar ferramentas baseadas em machine learning para detectar atividades suspeitas em tempo real, como tentativas de login não autorizadas ou transferências anômalas.

• Arquitetura de confiança zero (ZTA): Adotar o princípio de “nunca confiar, sempre verificar”, com autenticação contínua e acessos restritos, mesmo para usuários internos.

• Backups regulares: Realizar backups diários, semanais e mensais, armazenados em locais seguros (físico ou nuvem), com testes periódicos de restauração para garantir recuperação rápida em caso de ataque.

• Gestão de fornecedores: Avaliar a segurança de terceiros, exigir certificações (como ISO 27001) e incluir cláusulas contratuais que garantam conformidade com padrões de cibersegurança.

• Conformidade com regulamentações: Seguir normas como GDPR, PCI DSS e LGPD, além de realizar auditorias regulares para garantir aderência às exigências legais.

Essas práticas, baseadas em relatórios como o IBM Security X-Force Threat Intelligence Index 2023, são cruciais para reduzir riscos como ransomware, que representou 17% dos ataques em 2022, e garantir a continuidade operacional.

O papel das regulamentações no Brasil

O Brasil possui um arcabouço regulatório crescente para cibersegurança, liderado pelo Banco Central do Brasil (BACEN). As Resoluções 4.893/2021 e 85/2021 exigem que instituições financeiras implementem políticas de cibersegurança, nomeiem responsáveis pela segurança, adotem controles para prevenir e responder a incidentes e incluam fornecedores terceirizados em suas estratégias. Incidentes devem ser notificados ao BACEN, embora sem prazos específicos. A Comissão de Valores Mobiliários (CVM), por meio da Instrução 505/2011, regula operações no mercado de valores, enquanto a Superintendência de Seguros Privados (SUSEP) e a Agência Nacional de Telecomunicações (ANATEL) aplicam normas específicas para seus setores.

A LGPD complementa essas regulamentações, exigindo que incidentes envolvendo dados pessoais sejam notificados à Autoridade Nacional de Proteção de Dados (ANPD) e aos afetados. Além disso, iniciativas como a Política Nacional de Segurança da Informação e da Cibersegurança (PNCiber, Decreto 11.856/2023) e a Estratégia Nacional de Segurança da Infraestrutura Crítica (ENSIC, Decreto 10.569/2020) buscam coordenar esforços. No entanto, relatórios do Tribunal de Contas da União (TCU, 2022) apontam desafios significativos: 74,6% das organizações públicas não possuem políticas de backup, e 66% não criptografam dados, evidenciando lacunas na implementação.

Conclusão: Um chamado à ação

O ataque ao Pix em 2025 serve como um alerta para a necessidade de priorizar a cibersegurança nas instituições financeiras brasileiras. Com o aumento de incidentes cibernéticos e o Brasil como líder em ataques de ransomware na América Latina, é imprescindível investir em tecnologias avançadas, como arquitetura de confiança zero e monitoramento com IA, além de fortalecer a gestão de fornecedores e a conformidade com a LGPD e normas do BACEN. Apesar dos avanços regulatórios, a implementação enfrenta obstáculos, como normas desconexas e falta de recursos. Proteger o sistema financeiro não é apenas uma questão de tecnologia, mas de preservar a confiança dos brasileiros em um mundo digital. Cabe às instituições, reguladores e sociedade trabalharem juntos para construir um futuro mais seguro.

Por Thiago Rodrigues de Souza, especialista em tecnologia e inovação