O PIX de 1 bilhão de reais

O Brasil, ao contrário do que muitos imaginam, é altamente desenvolvido em tecnologias para o mercado financeiro. Nos últimos anos, o país tem se destacado especialmente com o PIX, que se tornou referência em transferências eletrônicas em tempo real. Esse avanço mostra como a era dos dias de espera para compensação já deveria ter sido superada há muito tempo.

Além do PIX, houve uma grande expansão da oferta de serviços por meio de fintechs. Essas startups ampliaram o acesso e passaram a conectar pessoas não bancarizadas, promovendo a inclusão financeira. Trata-se de uma conquista significativa para a democratização da tecnologia no setor.

Por fim, a concorrência gerada por esses novos entrantes estimula constantemente a inovação e a melhoria de todos os serviços financeiros, beneficiando tanto as empresas quanto os consumidores.

Após essa breve introdução é vou comentar sobre o susto ao ler no Brazil Journal, um dos primeiros canais que acompanhei a publicação sobre a fraude com proporções bilionária envolvendo a obtenção de acesso indevido a um provedor de PSTI e desvio de dinheiro estimado a 1 Bilhão de reais utilizando PIX, que atua como uma das empresas homologadas a se conectar diretamente ao banco centro e funciona como porta de conectividade para empresas que oferta BaaS (Banking as a Service) com tecnologia que facilitam a entrada de forma simplificada de novas Fintechs no mercado financeiro.

Um resumo do fluxo de integração ao Banco Central

Uma startup que estrutura uma fintech para prover serviços ao cliente final geralmente utiliza outra empresa chamada BaaS para expor APIs, cuidar de compliance e mediar a integração, que por sua vez contrata um PSTI autorizado para transmitir as instruções ao Banco Central.

Fintech > BaaS (Banking as a Service) > PSTI (Provedor de Serviços de Tecnologia da Informação) > BC (Banco Central)

O incidente

Esse caso, agora com um pouco mais de detalhes, demonstra que os criminosos hackers, conhecedores do processo da operação financeira, obtiveram acesso indevido à empresa prestadora PSTI por meio de um colaborador terceirizado que forneceu suas credenciais e/ou implantou um backdoor no principal serviço da PSTI. Especula-se, conforme comentários não confirmados, que havia credenciais expostas e implementações “customizadas”, ou seja, numa tradução para developers, “if cliente = ABC, use essas credenciais” e execute essa operação.

O resumo objetivo é que, de posse desse acesso, os criminosos efetuaram grandes transferências de contas reserva com dinheiro associado ao BaaS e, por consequência, às fintechs conectadas. Moveram esses recursos seguindo práticas conhecidas de fraude no mercado financeiro por meio de laranjas e, por fim, buscaram converter os valores em criptoativos, visando o sucesso na fraude. Inclusive, essa movimentação atípica foi detectada pelas exchanges que atuam nesse mercado.

Esse incidente revelou fragilidades sistêmicas graves na cadeia de tecnologia que interliga bancos, fintechs e o Banco Central, servindo de alerta para a necessidade de reforçar a segurança cibernética em todos os níveis, desde o planejamento e desenvolvimento de sistemas até a operação diária, auditorias e testes de invasão.

É importante ressaltar que não existe nenhuma evidência de violação ao Banco Central, já que a fraude ocorreu em uma das empresas homologadas como PSTI (Provedor de Serviços de Tecnologia da Informação).

Vulnerabilidades expostas e falhas sistêmicas

Este incidente, estimado em R$ 1 bilhão, pode ser o maior já registrado até hoje. Mas já pensou se os prejuízos atingissem R$ 100 bilhões, provocando um colapso no mercado financeiro brasileiro e uma onda de insolvências em massa?

Especialistas e investigações policiais atestam que não houve exploração de vulnerabilidade zero day, invasão de servidores do Banco Central ou quebra de algoritmos criptográficos. Em vez disso, os atacantes se aproveitaram de falhas elementares na gestão de identidade e acesso. As apurações apontam que o ponto de entrada mais provável foi o vazamento de credenciais API de um colaborador terceirizado com permissões ultra restritas.

Como isso foi possível? Há mais de 25 anos acompanho essa evolução na prática. Comecei em redes Novell, avancei para Windows NT e depois para Linux. Sempre debatemos firewalls avançados, permissões granulares e as melhores práticas de governança. E, ainda assim, um erro básico, uma senha exposta ou um token mal guardado, foi suficiente para comprometer todo o sistema. Isso evidencia que, mesmo hoje, nossa higiene cibernética deixa buracos perigosos.

O velho legado que continua funcionando

Ao iniciar este artigo eu ressaltei que somos referência em inovação no mercado financeiro e isso é realidade. No entanto existe um universo obscuro movido por ineficiência operacional e por sistemas legados intermináveis que sobrevivem da falta de compreensão, nível de consciência sobre desenvolvimento de software ou mesmo de visão sobre a importância da digitalização e o quanto a modernização pode proporcionar maior retorno, entrega de valor aos clientes, redução de custo, manutenção simplificada e segurança reforçada.

A oportunidade criada pelo modelo de fintech é única, mas ingressar no mercado financeiro não é tarefa simples. Exatamente por causa do alto retorno de determinadas operações, muitos decidem por prolongar a vida útil do legado por mais um ano, pois muitas vezes soa mais vantajoso do que investir numa transformação de fato. Afinal, quando uma planilha obsoleta de Excel continua demonstrando lucros, pagando bônus e recompensando acionistas, fica teoricamente “difícil” justificar o aporte em algo novo.

É com essa lógica primitiva que muitas empresas desaparecem do mercado da noite para o dia após anos de degradação operacional e de uma tecnologia insustentável. Hoje esse legado se choca com a inovação, com concorrentes ágeis, com um consumidor digital em busca de experiência verdadeiramente conectada e com novos vetores de risco como ataques cibernéticos constantes às operações online, ineficiencia computacional, ou mesmo a inteligencia artificial.

Os antigos e novos softwares legados se multiplicam e causam enorme prejuízo invisível

A modernização de aplicações não é um tema novo, tampouco a necessidade de investir em boas práticas de arquitetura de software, manutenabilidade, reuso, testabilidade, escalabilidade e principalmente segurança. No entanto, no mundo real as coisas acontecem de forma totalmente diferente. Muitos profissionais se prendem ao próprio legado e consideram inatingível estruturar de fato o ambiente, optando por criar mais e mais camadas de “tinta” para esconder o legado sob uma nova apresentação, mas continuam com os mesmos problemas em escala maior.

Ao conversar com diversas pessoas ao longo dos anos, não foi incomum escutar relatos de acesso indevido por falhas variadas nas aplicações, ausência de protocolos de segurança e vulnerabilidades que vão além do básico. Em alguns casos bastava trocar um parâmetro na URL para acessar o cadastro de outro cliente. Em outros havia autenticação e autorização, mas na hora de tratar o contexto de negócio o tema segurança foi ignorado, e um usuário autorizado e identificado obteve acesso indevido por falha de segurança no fluxo de negócio.

Hoje mmuitas empresas utilizam um API Gateway para proteger a camada pública das APIs e se esquecem do acesso interno entre serviços e da própria rede local. O volume de problemas internos nas aplicações, somado a falhas de segurança na infraestrutura interna, faz com que empresas sejam vítimas de ransomware, especialmente aquelas com arquiteturas legadas, em números que superam facilmente o prejuízo anual estimado em R$ 1 bilhão causado por fraude no PIX.

O aprendizado e caminhos futuros

A experiência demonstrou que acabou a era da confiança absoluta e que qualquer player participante do processo precisa tomar todas as precauções no escopo da sua atuação. Esse tipo de fraude não é motivo de comemoração, mas sim um momento de reflexão conjunta entre todos os atores do ecossistema (incluindo os responsáveis pelo ambiente regulatório) para avaliar a inclusão de melhorias.

Para proteger ativos, clientes e reputação, é fundamental adotar uma estratégia sólida de desenvolvimento de software que vá além de simples correções pontuais.

Investir em arquitetura moderna, separando as responsabilidades, com práticas como DDD, microsserviços, modularidade não só torna os sistemas mais seguros, mas também acelera entregas, reduz custos de manutenção e reforça a capacidade de resposta a novas ameaças.

Essas melhorias podem incluir:

• Dados em cofres criptográficos (HSMs) Gerenciamento rígido de acesso com MFA e múltiplas aprovações para cada operação
• Proteção de credenciais e avaliação de anomalias Monitoramento de transações atípicas em tempo real usando IA/ML para detectar fraudes rapidamente
• Modernização com boas práticas de arquitetura de software Estruturas modulares e desacopladas facilitam atualizações seguras, isolam falhas e garantem escalabilidade
• Desenvolvimento seguro Práticas DevSecOps (SAST/DAST), revisão focada no OWASP Top 10 e testes contínuos internos e externos
• SIEM e logs centralizados Correlação de eventos em tempo real para investigação rápida e eficaz
• Proteção de infraestrutura Firewalls, segmentação de rede em camadas e políticas de acesso granular
• Resposta a incidentes e continuidade Playbooks claros, simulações regulares, backups e redundância para rastreio ponta a ponta

Pontos-chave para reforçar a segurança

• Política de Segurança Digital atualizada e alinhada à governança corporativa
• Gestão de Fornecedores Críticos com monitoramento contínuo
• Arquitetura Zero Trust avançada e segmentada
• Modernização seguindo boas práticas de software (DDD, microsserviços, clean code)
• Conformidade Regulatória auditada
• Desenvolvimento Seguro (OWASP Top 10, DevSecOps)
• MFA em todas as camadas
• Testes de Segurança contínuos
• Monitoramento de transações atípicas com IA/ML
• SIEM e logs centralizados
• Proteção de infraestrutura (firewalls, segmentação)
• Backups, redundância e recuperação de desastres

Ao unir governança, arquitetura, desenvolvimento e operação numa estratégia integrada, sua organização passa de reativa a proativa, detectando e neutralizando fraudes com agilidade, reduzindo riscos e fortalecendo a confiança de clientes e parceiros.

Considerações Finais

Imagine perder R$ 1 bilhão em instantes. Foi isso que esteve em jogo em diversos incidentes recentes quando sistemas legados falharam. Não podemos mais empurrar “remendos” e esperar que tudo dê certo. É hora de adotar uma Cultura de Segurança Nativa e Modernização Contínua.

Acompanhando esse momento atual do mercado, percebo que mesmo com o PIX consolidado e um ecossistema de fintechs vibrante continuamos expostos a vulnerabilidades básicas de gestão de identidade e acesso que podem resultar em perdas bilionárias. Mais do que investir em algoritmos complexos, precisamos reforçar controles operacionais simples e confiáveis.

Se continuarmos apenas “aplicando tinta” sobre sistemas legados em vez de modernizá-los, estaremos adiando um colapso certo.

Por isso defendo a adoção imediata de uma cultura de excelência em desenvolvimento de software, pautada em práticas modernas de arquitetura como segurança nativa, computação em nuvem e microsserviços, alinhadas a uma governança sólida, DevSecOps e monitoramento contínuo. Assim antecipamos fraudes, reduzimos custos de manutenção e ganhamos a agilidade necessária para inovar.

Em resumo, nossa estratégia deve integrar governança, desenvolvimento e operação de forma proativa, fortalecendo a confiança de clientes e parceiros e garantindo que o sistema financeiro brasileiro permaneça competitivo, resiliente e inovador.

A sua contribuição é valiosa

Este artigo é fruto de longas horas de pesquisa, desenvolvimento, validação de contexto e elaboração minuciosa. Se fez sentido para você, deixe seu comentário e compartilhe com a sua rede além de sugerir novos temas.

Referências

• Depoimento de suspeito preso por ataque hacker detalha esquema que desviou mais de R$ 540 milhões
• Hackers levam mais de R$ 1 bilhão de ‘banking as a service’
• Na madrugada, um PIX de R$ 18 milhões. Começava o assalto
• O Roubo Cibernético C&M/BMP: Anatomia de uma Falha Sistémica e o Novo Paradigma para a Segurança Financeira no Brasil
• Dinheiro que some em segundos: o roubo de R$ 1 bilhão e as lições para o futuro da cibersegurança
• ‘Foi um assalto digital’, diz especialista sobre ataque hacker contra empresa que conecta instituições ao PIX
• Desvio milionário do PIX: como sistemas foram burlados manipulando pessoas
• O maior roubo da história do sistema financeiro brasileiro e o que ele revela sobre a infraestrutura e segurança do setor

Precisa de ajuda especializada em estratégia de software para apoiar a modernização do seu software e projetos de arquitetura de IA, microsserviços, cloud, RAG? Entre em contato.

Até a próxima !!!

Ramon Durães