“A pergunta que eu mais recebi desde que submeti esta palestra é: afinal, o Pix é seguro?”. Foi com esse desabafo que Wesley Marinho, líder do capítulo de Maceió do OWASP e membro-sênior do IEEE, iniciou sua palestra no Mind The Sec 2025. O evento, que ocorreu na capital paulista entre os dias 16 e 18 deste mês, reuniu mais de 16 mil profissionais da área de segurança da informação para debater desafios e tendências do setor.
É claro que a segurança do Pix seria um tema em constante discussão durante os três dias de conferência — afinal, com os recentes incidentes de vazamentos de chaves e ataques que desviaram valores monetários, a confiabilidade pública sobre o sistema de pagamentos instantâneos foi abalada. Algo que, para Wesley, pode ser atribuído a um alarde desnecessário por parte da grande imprensa.
Para entendermos essa visão, é necessário compreender antes de tudo que todos os incidentes ocorridos em 2024 e 2025 não ocorreram no Pix em si, mas sim no Sistema Financeiro Nacional (SFN), um conjunto de APIs que tornam o Pix possível ao facilitar a comunicação interbancos através de empresas conhecidas como “integradoras”. São elas que ficam responsáveis por enviar comandos para transferências monetárias.
“O Pix simplesmente transformou o dinheiro físico em dinheiro digital. Existe um serviço dentro do SFN no qual o banco de origem avisa que o cliente X quer transferir tantos reais para cliente Y; o Banco Central do Brasil vai em cada cofre, notifica as instituições e credita o valor em questão na conta final”, explica o especialista. Segundo ele, tais integradoras trabalharam como apoio ao sistema Pix desde a sua concepção em estágios iniciais.
Pois bem, os recentes ataques alardeados na mídia foram realizados contra essas instituições intermediadoras, e não contra a arquitetura Pix em si. Wesley ressalta que a segurança das integradoras do SFN anda enfraquecida especialmente pela popularização das fintechs.
Como essas startups não possuem capacidade técnica de ter um back-end robusto próprio (e tampouco são exigidas por lei a contarem com tal), as prestadoras de serviços de TI passaram a praticamente abrir todo o seu bastidor e revendê-lo como infraestrutura de base para a operação dessas instituições.
De fato, é bastante fácil comprovar essa movimentação do mercado. Basta analisar o portfólio de soluções da Sinqia, uma das empresas atacadas recentemente e cujo comprometimento resultou no desvio de R$ 710 milhões.
Embora seja tradicionalmente focada na prestação de serviços para grandes instituições bancárias, começou recentemente a oferecer infraestruturas completas do tipo “plug and play” para fintechs, como o chamado core banking, no modelo software-como-serviço.
Na página de recursos do SaaS em questão, a Sinqia destaca que a plataforma é “ideal para instituições financeiras, de pagamentos e sociedades de crédito tornarem suas rotinas de backoffice mais simples e ágeis”, contando inclusive com “integração completa ao sistema de pagamentos instantâneos do Banco Central, com segurança e agilidade para transações financeiras imediatas”.
É dessas “facilidades” e “aberturas” que surgem superfícies maiores de ataque, como APIs inseguras, comunicações com protocolos fracos de autenticação, má gestão de credenciais de acesso e, muitas vezes, a total inexistência de uma estratégia de TPRM (third-party risk management ou gerenciamento de risco de terceiros). Ou seja: a própria demanda do mercado acaba facilitando tais ataques.
“O Bacen está tentando reconstruir a credibilidade, tanto dos cidadãos quanto das instituições, sobre a confiabilidade e funcionamento do SFN. Isso vai certamente criar desafios para que os atores maliciosos se aproveitem dessas brechas”, afirma Wesley. Uma das iniciativas que fazem parte dos esforços citados pelo especialista é a publicação da Resolução BCB n° 498, datada de 5 de setembro de 2025.
O documento estabelece uma série de medidas mais rígidas para que a figura do Provedor de Serviços de Tecnologia da Informação (PSTI) seja autorizada a se conectar com a Rede do Sistema Financeiro Nacional (RSFN), onde o Pix efetivamente ocorre. Dentre os novos requisitos, podemos destacar a obrigatoriedade da contratação de um seguro cibernético, a apresentação de uma estrutura de governança robusta e planos de business continuity.
Além disso, para acalentar os usuários finais, também está sendo otimizado o Mecanismo Especial de Devolução (MED) para recuperação de valores em caso de golpes e fraudes. O primeiro passo, já implementado, foi obrigar todas as instituições financeiras a inserir um botão mais chamativo e amigável para o recurso dentro de seus aplicativos de mobile banking, facilitando a vida do consumidor que acabar enviando um Pix de maneira errônea ou acidental.
Porém, em contraste com a versão atual, que apenas “procura” o dinheiro na conta de destino, está planejado para fevereiro de 2026 o MED 2.0, que passará a rastrear valores dentre múltiplas contas de destino, sendo teoricamente capaz de bloquear o montante perdido mesmo se ele for dividido em diferentes instituições bancárias. Isso será possível graças a uma arquitetura que entenderá cada mínima parcela do valor total como um único token de identificação exclusiva, impedindo a dissipação de dinheiro subtraído via fraude.
No fim das contas, o que podemos concluir é que o Pix, em um panorama generalizado, é de fato um sistema seguro — as vulnerabilidades ocorrem nas pontas do ecossistema que compõe o método de pagamento.
Contudo, com o aumento de sua popularidade e ações rápidas para mitigar o crescente número de ataques contra as infraestruturas tecnológicas que operam nos bastidores, podemos ter certa tranquilidade de que ele se tornará ainda mais robusto e confiável em um futuro próximo.