PIX

O PIX bateu um novo recorde de uso ao registrar 297,4 milhões de operações em apenas um dia, de acordo com informações divulgadas pelo Banco Central nesta segunda-feira (1º). O pico ocorreu na última sexta-feira (28), quando também foram movimentados R$ 166,2 bilhões — maior volume financeiro já registrado pelo sistema desde sua criação.

A data coincidiu com a Black Friday, período de grande volume de compras no comércio, além do prazo final para o pagamento da primeira parcela do 13º salário aos trabalhadores. O Banco Central destacou que o desempenho reforça o papel do PIX como infraestrutura pública essencial para o funcionamento da economia brasileira.

O recorde anterior tinha sido alcançado em 5 de setembro, com 290 milhões de transações. Criado há cinco anos, o sistema já reúne cerca de 890 milhões de chaves cadastradas e faz parte da rotina de mais de 170 milhões de brasileiros. Desde seu lançamento, em novembro de 2020, até 30 de setembro de 2025, o PIX já movimentou cerca de R$ 85,5 trilhões.

No mês passado, também entraram em vigor novas regras que ampliam mecanismos de segurança e a possibilidade de devolução de valores em casos de fraude, golpe ou coerção. Antes, a devolução só podia ser realizada pela conta usada na ação criminosa, mas a rapidez com que criminosos transferiam os valores dificultava a recuperação. Com o aprimoramento regulatório, o Banco Central ampliou o rastreamento e a proteção ao usuário.

Fonte: G1

Entram em vigor neste domingo (23) as novas regras do Banco Central (BC) para reforçar a segurança do PIX e ampliar as possibilidades de recuperação de valores desviados em fraudes, golpes e casos de coerção. As mudanças aprimoram o Mecanismo Especial de Devolução (MED), que passa a ter maior capacidade de rastreamento e identificação das contas envolvidas em transações suspeitas.

Segundo o BC, a expectativa é que o novo modelo aumente tanto o número de contas identificadas como participantes de golpes quanto o volume de recursos devolvidos às vítimas, reduzindo o incentivo para criminosos que utilizam o sistema para movimentar valores rapidamente. O órgão também acredita que o compartilhamento mais amplo de informações dificultará o uso de contas envolvidas em fraudes para novas operações criminosas.

Antes das alterações, os bancos só podiam efetuar a devolução do dinheiro da conta que recebeu a transferência fraudulenta. No entanto, golpistas costumam sacar ou transferir os valores de imediato, o que dificultava o rastreamento e reduzia as chances de ressarcimento.

Com as novas regras — opcionais até 2 de fevereiro, quando se tornam obrigatórias para todas as instituições participantes — o PIX passará a rastrear de forma mais detalhada o caminho percorrido pelo dinheiro. Dessa forma, será possível recuperar valores mesmo após eles terem deixado a conta original vinculada ao golpe. De acordo com o BC, a identificação das rotas financeiras será compartilhada entre os participantes da operação e permitirá devoluções em até 11 dias após a contestação.

Autoatendimento para contestação

Desde 1º de outubro, todas as instituições financeiras passaram a disponibilizar, dentro da própria área do PIX nos aplicativos, uma ferramenta de contestação automática, sem necessidade de contato direto com atendentes.

Esse canal serve como porta de entrada para solicitações de devolução nos casos de fraude. O BC afirma que o autoatendimento deve tornar o processo mais ágil e aumentar as chances de que ainda haja saldo na conta do golpista no momento da contestação.

A Polícia Federal (PF) deflagrou a segunda fase da Operação Magna Fraus, com apoio da Interpol, para desarticular um grupo criminoso responsável por um ataque hacker que desviou mais de R$ 813 milhões de contas de reservas mantidas por instituições financeiras. O crime, ocorrido entre 30 de junho e 1º de julho, é considerado o maior ataque cibernético já registrado contra o sistema financeiro brasileiro.

De acordo com a PF, 19 pessoas foram presas — 12 no Brasil e sete no exterior (seis na Espanha e uma na Argentina). Ao todo, foram cumpridos 42 mandados de busca e apreensão e 26 de prisão, em Distrito Federal, São Paulo, Minas Gerais, Goiás, Santa Catarina, Paraíba e Bahia, além de Argentina, Portugal e Espanha.

A Justiça determinou o bloqueio de até R$ 640 milhões em bens e valores, e os agentes apreenderam veículos de luxo, joias, armas, munições e cerca de R$ 1 milhão em criptoativos.

Ataque partiu de um hotel em Brasília

Segundo informações divulgadas pela TV Globo, o ataque foi lançado de um quarto do hotel Royal Tulip, em Brasília, um dos mais caros da capital federal. Após a invasão dos sistemas, parte dos criminosos fugiu para a Europa, enquanto outro grupo fretou um avião rumo à Argentina.

O golpe atingiu pelo menos seis instituições financeiras, mas, conforme informou o Banco Central (BC), nenhum cliente foi prejudicado. Os criminosos desviaram recursos de contas de reserva dos bancos — utilizadas para compensações de transferências via Pix — e não de contas de pessoas físicas.

Organização criminosa e lavagem de dinheiro

A PF acusa o grupo de organização criminosa, invasão de dispositivo informático, furto mediante fraude eletrônica e lavagem de dinheiro. A investigação aponta que havia funções especializadas entre os integrantes: desde hackers responsáveis pelas invasões até operadores encarregados de converter os valores roubados em criptoativos, usados para disfarçar a origem do dinheiro.

Na primeira fase da operação, em julho, dois homens foram presos e cerca de R$ 5,5 milhões em criptoativos foram apreendidos. Desde o início das investigações, o total de valores bloqueados já soma R$ 32 milhões.

Segundo a PF, as prisões internacionais foram executadas com apoio da Brigada Central de Fraudes Informáticos da Polícia Nacional da Espanha e de escritórios da Interpol no Brasil, Espanha, Argentina e Portugal.

Fonte: OGLOBO

A partir desta quarta-feira (1º), instituições financeiras disponibilizam, nos aplicativos de PIX, um botão de contestação que permite ao usuário contestar fraudes, golpes ou cobranças indevidas de forma rápida, sem precisar falar com um atendente.

De acordo com o Banco Central (BC), o mecanismo faz parte do Mecanismo Especial de Devolução (MED) e tem como objetivo agilizar a devolução de valores extraídos por fraude, aumentando a chance de ainda haver saldo na conta do fraudador.

O BC esclareceu que a ferramenta não se aplica a erros de digitação, arrependimento, desacordo comercial ou casos que envolvam terceiros de boa-fé. Ela é específica para fraudes, golpes e coerção.

O funcionamento do botão segue estas etapas:

O cliente reporta a transação suspeita pelo app;

O banco notifica as instituições envolvidas;

O saldo é bloqueado na conta recebedora;

As instituições analisam o caso e, se confirmada a fraude, os valores são devolvidos em até 11 dias (ou 24 horas em falhas operacionais do PIX automático).

Segundo a Associação Brasileira de Bancos (ABBC), o MED de autoatendimento não substitui cuidados individuais contra golpes, mas facilita o rastreamento e devolução de valores.

Para usar, o correntista deve abrir o app do banco, selecionar “contestar PIX” ou “solicitar devolução (MED)”, anexar evidências e acompanhar a contestação diretamente pelo aplicativo.

Fonte: G1

O sistema de pagamentos instantâneos Pix apresentou instabilidade na manhã desta segunda-feira (29), atingindo usuários de diferentes bancos, entre eles Nubank, Santander e Itaú.

De acordo com o Downdetector, plataforma que monitora serviços online, as falhas começaram por volta das 10h53 (horário de Brasília). Em menos de 30 minutos, as reclamações ultrapassaram 3 mil e, às 11h50, já somavam 8.728 registros.

Usuários relatam mensagens de erro ao tentar realizar transferências, valores debitados sem compensação nas contas de destino e dificuldades para completar transações.

O TechTudo testou o sistema em quatro instituições financeiras e confirmou os problemas. Até o momento, o Banco Central do Brasil, responsável pelo Sistema de Pagamentos Instantâneos (SPI), ainda não se pronunciou oficialmente sobre as causas da falha.

Fonte: techtudo

O Banco Central (BC) anunciou nesta sexta-feira (5) novas medidas de segurança para reforçar a proteção do sistema financeiro após ataques cibernéticos a instituições. As normas foram aprovadas pela diretoria da autarquia e têm vigência imediata.

Entre as principais mudanças estão a redução de limites de transferências para instituições de pagamento não autorizadas, exigência de autorização prévia do BC para novas empresas que desejarem atuar no sistema, além da possibilidade de exigir certificações técnicas emitidas por empresas independentes.

De acordo com o presidente do BC, Gabriel Galípolo, os ataques recentes foram realizados por organizações criminosas. Ele destacou que tanto bancos tradicionais quanto fintechs também são vítimas, e que a autarquia não terá tolerância em relação à segurança.

? Principais medidas anunciadas pelo BC

Limite de transferências via PIX e TED: máximo de R$ 15 mil para instituições não autorizadas, até que comprovem a adoção de novos controles de segurança.

Autorização prévia: nenhuma instituição de pagamento poderá iniciar operações sem aprovação do BC. O prazo para que empresas irregulares solicitem autorização foi antecipado de 2029 para maio de 2025.

Controles adicionais no PIX: apenas participantes de determinados segmentos poderão atuar como responsáveis por instituições não autorizadas.

Certificação técnica: poderá ser exigida para garantir o cumprimento dos requisitos regulatórios.

Regras mais rígidas para prestadores de tecnologia (PSTIs): exigência de capital mínimo de R$ 15 milhões, governança mais robusta e gestão de riscos mais rigorosa.

As medidas foram tomadas após uma série de ataques cibernéticos registrados nos últimos meses, envolvendo tentativas de fraude contra o sistema financeiro nacional.

Fonte: G1

A Sinqia, empresa que conecta bancos ao sistema de pagamentos instantâneos do Banco Central (BC), foi alvo de um ataque hacker na sexta-feira (30/8). Segundo fontes, os criminosos conseguiram desviar R$ 670 milhões — R$ 630 milhões pertencentes ao HSBC e R$ 40 milhões da Sociedade de Crédito Direto Artta. O valor é superior ao inicialmente estimado.

A ação criminosa mirava um montante superior a R$ 1 bilhão, mas parte foi bloqueada pelo BC, que conseguiu reter R$ 366 milhões. A Polícia Federal investiga o caso, e a Sinqia segue sem acesso ao ambiente Pix.

O HSBC informou que as transações afetaram apenas a conta de um provedor e não atingiram clientes. A Artta também confirmou que os valores desviados estavam em contas mantidas diretamente no BC para liquidação interbancária.

O episódio reacende preocupações sobre brechas no sistema de provedores de tecnologia que intermediam operações financeiras. Em julho, a C&M Software já havia sido alvo de ataque semelhante, com desvio de mais de R$ 800 milhões. Especialistas reforçam a necessidade de maior supervisão, exigências técnicas mais rígidas e recursos adicionais para o BC, que enfrenta redução de pessoal em meio ao crescimento das atribuições.

Embora o sistema do Pix em si não tenha sido invadido e contas de clientes não tenham sido atingidas, analistas alertam que provedores terceirizados se tornaram alvos estratégicos e vulneráveis. O caso coloca em evidência a urgência de reforçar monitoramento, regulação e segurança cibernética no ecossistema financeiro.

Fonte: OGLOBO

O Banco Central e o Conselho Nacional de Justiça (CNJ) confirmaram nesta quarta-feira (24) que houve um acesso indevido a dados vinculados a chaves Pix no sistema Sisbajud, ferramenta de busca de ativos operada pelo CNJ em parceria com o Banco Central. O incidente de segurança ocorreu nos dias 20 e 21 de julho e afetou dados cadastrais de 11.003.398 pessoas.

Segundo os dois órgãos, não houve vazamento de dados sensíveis, como senhas, saldos, extratos bancários ou informações protegidas por sigilo bancário. As informações expostas foram exclusivamente de natureza cadastral: nome do titular, chave Pix, instituição financeira, número da agência e número da conta.

Em nota, o Banco Central afirmou que o vazamento “não permite movimentações de recursos, nem acesso às contas ou a outras informações financeiras”. O CNJ, por sua vez, informou que o problema foi “imediatamente identificado e corrigido”, e que o sistema voltou a funcionar normalmente após a adoção das medidas de segurança.

A Polícia Federal e a Autoridade Nacional de Proteção de Dados (ANPD) foram oficialmente comunicadas sobre o ocorrido.

Riscos e recomendações
Apesar de os dados expostos não permitirem movimentações financeiras, o CNJ alertou que a exposição de dados cadastrais representa riscos potenciais, como tentativas de golpes e fraudes. Por isso, o órgão recomenda que os usuários fiquem atentos a comunicações suspeitas e reforcem os cuidados com segurança digital.

O CNJ ressaltou que não entra em contato com os afetados por meio de SMS, e-mail ou chamadas telefônicas, e que irá disponibilizar em seu site oficial um canal exclusivo para que cidadãos consultem se foram impactados pelo vazamento.

O incidente ocorre em um contexto de atenção crescente à proteção de dados no país, especialmente após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD). O artigo 48 da LGPD prevê que os responsáveis por dados pessoais devem comunicar incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.

Fonte: G1

Poucas coisas têm sido tão capazes de unir o Brasil, nos últimos anos, como o Pix. Adorado pela população, o meio de pagamento instantâneo agora é alvo da investigação aberta pelos EUA sobre supostas práticas comerciais “desleais” brasileiras. Não é difícil entender as razões do incômodo.

O Pix, desenvolvido pelo Banco Central (BC) em parceria com o setor privado, resvala em pelo menos dois grupos de interesses americanos — as “big techs” e as bandeiras de cartões. Outra questão está relacionada à forma como o sistema foi concebido.

O comunicado do Representante Comercial dos Estados Unidos (USTR, na sigla em inglês) é vago e sequer menciona o Pix, mas deixa pistas. De acordo com o documento, o Brasil “pode prejudicar a competitividade de empresas americanas” que atuam nos setores de comércio digital e pagamentos eletrônicos “por exemplo, retaliando-as por não censurarem o discurso político ou restringindo sua capacidade de fornecer serviços no país”.

Lançado em novembro de 2020, o Pix rapidamente caiu no gosto dos brasileiros — basta lembrar o estrago que fez na popularidade do presidente Luiz Inácio Lula da Silva quando se espalhou a notícia falsa de que o governo cogitava taxar as transações feitas por meio do sistema. Hoje, é usado por 93% da população adulta do país, segundo pesquisa do Google publicada ontem pelo Valor, e tornou-se o meio de pagamentos mais popular do Brasil.

O Pix tirou espaço do dinheiro físico, dos boletos e dos cartões de débito, principalmente. Com o desenvolvimento de ferramentas como Pix Parcelado e Pix Automático, começa a concorrer também com os cartões de crédito, um segmento que ainda cresce no país.

Os arranjos de cartões de crédito e débito são feitos em torno das bandeiras e as dominantes no mercado brasileiro, como se sabe, são as americanas Visa e Mastercard. Ambas são um fator óbvio no descontentamento americano, mas não o único e talvez não o principal. E aí é preciso voltar à origem do Pix.

Em junho de 2020, meses antes de o sistema instantâneo brasileiro entrar em funcionamento, a Meta anunciou que lançaria um serviço de pagamentos por meio do WhastApp. O Brasil seria uma espécie de modelo para, depois, Mark Zuckerberg, o dono fundador da Meta, expandir a operação para outros mercados. Havia grande expectativa porque o serviço de mensageria era quase onipresente no país.

O Banco Central e o Conselho Administrativo de Defesa Econômica (Cade) alegaram que o lançamento do serviço poderia causar “danos irreparáveis” ao Sistema de Pagamentos Brasileiro (SPB)”. O motivo era que a operação não poderia estrear naquele momento porque os impactos dela no mercado ainda estavam sendo avaliados, bem como os aspectos regulatórios que deveria seguir. No entanto, muita gente no mercado ficou com a sensação de que o BC “sentou em cima” do caso e atrasou a iniciativa porque era parte interessada no desenvolvimento do Pix — algo que a autoridade monetária sempre negou.

Os pagamentos via WhatsApp só começaram a ser efetivamente oferecidos em maio de 2021, quando já fazia seis meses que o Pix estava na rua. Depois disso, o serviço da Meta nunca se tornou relevante, principalmente para transferências entre pessoas físicas.

É provável que o atraso no lançamento tenha reduzido a competitividade do sistema de pagamentos da Meta. Porém, não foi o único fator. Há diferenças fundamentais entre o Pix e os pagamentos via WhatsApp que ajudam a explicar o alcance de um e de outro.

A principal delas é que o Pix é universal. A participação no arranjo é compulsória para bancos e grande parte das instituições de pagamentos do país, o que significa que é possível mandar dinheiro para qualquer conta e receber de qualquer conta, sem custos.

Outro impulso ao meio instantâneo decorre do fato de que ele trafega nos “trilhos” das contas tradicionais e digitais de bancos e fintechs. Não é preciso ter cartão nem limite de crédito — coisas que ainda são um luxo para parte da população brasileira.

Os pagamentos via WhatsApp são de outra natureza. Surgiram como um arranjo privado no mundo dos cartões, limitado a credenciadoras e emissores que fecharam acordo comercial com a Meta. Esses acordos foram se expandindo com o tempo e, recentemente, a “big tech” anunciou que lançará uma integração com as contas correntes e digitais para permitir pagamentos com o Pix. É, portanto, uma universalidade construída aos poucos e baseada em estratégia comercial, e não uma imposição regulatória.

Público e privado
O mal-estar americano com o Pix também pode ter relação com a natureza do sistema. A ideia de um meio para pagamentos instantâneos surgiu de técnicos do Banco Central, na gestão de Ilan Goldfajn, e ganhou vida no mandato de Roberto Campos Neto — que não só abraçou a causa como também incentivou o desenvolvimento de produtos derivados, como parcelamentos e pagamentos recorrentes.

O Estado teve um papel não apenas de indutor e regulador, mas também participa do arranjo do Pix. É o BC que opera e gere o Diretório de Identificadores de Contas Transacionais (DICT), base de dados que armazena informações cadastrais dos usuários e das contas do Pix.

O modelo já foi alvo de críticas dos bancos, que veem riscos na manutenção de informações críticas nas mãos de um agente público sujeito a um orçamento limitado. No entanto, vale ressaltar que os problemas de segurança que ocorreram até agora no Pix não estão relacionados a fragilidades no DICT.

Apesar da presença forte do BC, é um equívoco pensar que o Pix é uma solução meramente estatal. Todo o desenvolvimento tecnológico e operacional foi feito em parceria com os bancos, por meio de grupos de trabalho existentes pelo menos desde 2018.

Embora tenha havido alguma discordância inicial das instituições financeiras tradicionais, que viram minguar as receitas provenientes de TEDs, DOCs e cartões de crédito, o setor rapidamente aderiu ao projeto, sob pena de perder clientes para os bancos digitais que estavam chegando. A adesão obrigatória, para o bem e para o mal, fez o mercado acontecer — e inviabilizou iniciativas rivais.

Nos Estados Unidos, não é assim. O Federal Reserve, banco central americano, criou o FedNow, mas a adesão dos bancos a ele não é obrigatória, como acontece aqui. Além disso, o sistema tem a concorrência de vários serviços privados de pagamentos instantâneos de grandes instituições privadas, como RTP e Zelle. De acordo com o Fed, bancos pequenos e médios e cooperativas de crédito representam mais de 95% dos participantes do FedNow.

No Brasil, a universalidade do Pix é apontada como um dos fatores que contribuíram para o aumento da bancarização, ao lado das fintechs. De acordo com dados da ABFintechs, o mercado brasileiro incluiu de cerca de 60 milhões de brasileiros na última década.

Esse movimento também se vê em outros países emergentes, segundo relatório divulgado em outubro do ano passado pela ACI Worldwide em parceria com o Centre for Economics and Business Research (Cebr). O estudo relaciona os pagamentos em tempo real à inclusão financeira, especialmente entre jovens e pessoas de baixa renda — um fato que deveria ser positivo para as empresas, inclusive as americanas.

Fonte: VALOR

O prejuízo com o ataque hacker que afetou a C&M Software na semana passada é estimado por fontes do setor, por enquanto, em cerca de R$ 800 milhões. Entretanto, novas informações estão surgindo e esse volume pode ultrapassar R$ 1 bilhão, segundo disse em entrevista exclusiva ao Valor o delegado divisionário da Delegacia de Crimes Cibernéticos (DCCibre) da Polícia Civil de São Paulo, Paulo Eduardo Barbosa.

“Inicialmente foram seis empresas afetadas pelo caso da C&M, mas aos poucos mais instituições estão nos procurando. Tinha o valor de R$ 541 milhões da BMP, agora ontem outro banco nos procurou informando um prejuízo de mais R$ 104 milhões, e outro hoje com R$ 49 milhões. Então, pelas informações que estamos recebendo, com um cálculo preliminar, estimamos que pode passar de R$ 1 bilhão”, comentou.

Segundo o delegado, a depender do tamanho do banco, e se o prejuízo for pequeno, de algumas dezenas de milhões de reais, muitos decidem nem notificar a polícia, até por temerem repercussões negativas do caso, com risco de dano reputacional. “Temos historicamente essa subnotificação mesmo, então algumas instituições ainda estão avaliando se vale denunciar.”

De acordo com Barbosa, o Banco Central tem colaborado com as investigações, repassando algumas informações, mas pelo fato de as investigações ainda estarem em um estágio inicial, não foi destacado nenhum técnico para colaborar de maneira dedicada com a DCCiber. “Estamos na fase de calcular o prejuízo e tentar entender para onde o dinheiro foi desviado.”

Ele lembra que, além de algumas quantias bloqueadas pelas próprias fintechs que perceberam a atipicidade das movimentações, a Polícia Civil, em parceria com o Ministério Público, conseguiu bloquear R$ 15 milhões que haviam sido convertidos em criptoativos. “Quando vai para cripto, ainda mais se estiver em uma carteira fria, é mais difícil recuperar. Mas se encontrarmos algo, se tiver sido usado para comprar propriedades, veículos, vamos pedir o bloqueio e o sequestro.”

O delegado diz que não pode revelar detalhes dos próximos passos da investigação, mas que deve ter novidades na semana que vem. Segundo ele, o foco é tentar identificar o grupo que aliciou o então funcionário da C&M João Nazareno Roque para que fosse aplicado o golpe.

“O importante foi termos conseguido pegar o fio da meada, prender o funcionário e conseguir acesso às duas máquinas que ele usou, isso nas primeiras 48 horas. Agora estamos no trabalho de extração das informações destes computadores.”

Ainda não é possível afirmar se este grupo tem ligações internacionais, mas o chefe da DCCiber acredita que ele é formado principalmente por brasileiros. Segundo ele, algumas fintechs envolvidas estão no nome de “laranjas”, com os reais donos morando em outros países.

“Foi um ataque que explorou a vulnerabilidade do sistema, usando uma empresa é que autorizada pelo BC, apesar de não ser fiscalizada por ele. A polícia não faz ”manutenção preventiva”, não é nosso papel. A gente só entra depois que o problema acontece”, aponta.

Barbosa lembra que a prisão temporária de Roque, inicialmente de cinco dias, já foi prorrogada por mais cinco dias e que a polícia pediu a conversão em prisão preventiva, que não tem um prazo definido. “A promotoria já se manifestou favorável e a Justiça aprovou hoje”.

O caso, que estava no Departamento de Inquéritos Policiais (Dipo), agora foi transferido para a 1ª Vara de Crimes Tributários, Organização Criminosa e Lavagem de Bens e Valores em São Paulo.

Fonte: valor