O Banco Central vai limitar ou suspender o acesso ao Pix de bancos e fintechs com controles de segurança cibernética insuficientes, após golpes digitais que somam R$ 1,5 bilhão nos últimos 12 meses. As fraudes contra o sistema financeiro saltaram de 15% para 79% dos incidentes em dois anos, e o regulador está mapeando a infraestrutura de TI de 1.745 instituições para aplicar sanções que incluem limites de transação, restrição de horário e suspensão temporária do meio de pagamento.

R$ 1,5 bi em golpes

O Banco Central registrou perdas superiores a R$ 1,5 bilhão decorrentes de golpes digitais contra instituições financeiras brasileiras no período de um ano. O número foi revelado nesta semana pela própria autoridade monetária como justificativa para o endurecimento das regras de acesso ao Pix — o sistema de pagamentos instantâneos que movimentou mais de R$ 3 trilhões até outubro de 2025.

O dado mais alarmante está na composição dos incidentes. Em 2024, fraudes representavam apenas 15% dos 59 incidentes registrados no setor financeiro. Em 2025, esse percentual saltou para mais da metade de um total de 76 ocorrências — um aumento de quase 30% no volume geral. Nos primeiros cinco meses de 2026, a situação piorou: dos 43 incidentes contabilizados, 34 foram fraudes diretas, ou seja, 79% do total. A tendência é inequívoca e o Banco Central decidiu agir.

Ano Total de incidentes Fraudes diretas % de fraudes
2024 59 9 15%
2025 76 39 51%
2026 (jan–mai) 43 34 79%

O que muda para bancos

O regulador enviou em maio um amplo questionário para 1.745 instituições autorizadas a operar no país. O objetivo é mapear o nível de conformidade com os controles exigidos pelas normas vigentes — incluindo o manual de segurança do Pix — e identificar lacunas nas políticas internas de cada banco ou fintech.

Segundo reportagem da O Globo, o BC está montando um mapa completo da infraestrutura de TI de todo o sistema financeiro nacional. Caso as respostas do questionário diverjam do monitoramento diário que o Banco Central já realiza, a instituição pode ser convocada para apresentar documentos adicionais ou passar por ações de supervisão mais rigorosas.

As sanções previstas são contundentes. Instituições que não atenderem aos requisitos mínimos podem sofrer:

  • Limites de valor por transação Pix — a medida de R$ 15 mil, já aplicada a parte dos bancos em 2025, pode ser estendida a um número maior de players;
  • Restrição de horário para operações via Pix;
  • Suspensão temporária do meio de pagamento;
  • Multas e outras penalidades administrativas.

A estratégia do Banco Central é usar a restrição como incentivo: ao ameaçar cortar ou limitar o acesso ao Pix — o principal canal de receita de muitas fintechs —, o regulador força as empresas a investirem em segurança cibernética de forma proativa, não apenas reativa.

O roubo do ano

O catalisador dessa mudança ocorreu em junho de 2025, quando hackers desviaram aproximadamente R$ 800 milhões de instituições financeiras por meio da provedora de tecnologia C&M Software. A empresa intermediava a conexão entre bancos menores e os sistemas do Banco Central.

Esse episódio — batizado de “roubo do ano” pelo mercado — expôs uma vulnerabilidade estrutural: a cadeia de suprimentos de TI do sistema financeiro brasileiro. Não foi o banco final que foi invadido, mas um prestador de serviços que tinha acesso privilegiado ao Pix. O mesmo padrão de ataques voltados ao ecossistema bancário se repete em campanhas como o RedWing, malware Android vendido no Telegram especificamente para roubar credenciais de acesso bancário.

O incidente da C&M Software demonstrou que a segurança de uma fintech ou banco pequeno é tão forte quanto o elo mais fraco da sua cadeia tecnológica. E é exatamente esse ponto que o novo questionário do BC quer endereçar.

Fraudes sobem 79% em dois anos

A reportagem de O Globo revelou que, dentro do Banco Central, incidentes de segurança cibernética são tratados com a mesma gravidade atribuída a uma queda de avião: cada caso é investigado a fundo, com análise de causa raiz e exigência de correções imediatas.

A aceleração das fraudes — de 15% para 79% dos incidentes em dois anos — reflete uma realidade global. Segundo estudo da NTT Data citado pelo Jornal Econômico, as perdas não seguradas associadas a ataques cibernéticos devem ultrapassar US$ 700 bilhões até 2030. O setor financeiro é o alvo número um, e o Brasil é um dos países mais atacados no mundo — os incidentes cibernéticos triplicaram no país em 2026, segundo o GSI (Gabinete de Segurança Institucional).

A combinação de Pix instantâneo, bancarização massiva (170 milhões de usuários) e infraestrutura de segurança heterogênea entre grandes bancos e pequenas fintechs cria um terreno fértil para criminosos que operam com velocidade e escala.

Impacto para o usuário

Para o cidadão que usa o Pix diariamente, a mudança mais visível pode ser a imposição de limites de transação em determinadas instituições. Se o seu banco ou fintech não atender aos padrões de segurança do BC, você pode se deparar com teto de R$ 15 mil por operação ou restrições de horário.

O lado positivo é que a pressão do regulador deve elevar o piso de segurança de todo o ecossistema. Instituições que hoje operam com controles mínimos serão forçadas a investir em autenticação multifator robusta, monitoramento de transações em tempo real, criptografia de ponta a ponta e auditoria periódica de fornecedores de tecnologia.

Enquanto as novas regras não são totalmente implementadas, o conselho permanece o mesmo: desconfie de links recebidos por Pix, confirme transações atípicas por canal independente e prefira instituições que demonstrem compromisso transparente com segurança cibernética.

Pix como alvo geopolítico

O endurecimento do Banco Central ganha relevância extra num contexto geopolítico complexo. Em junho de 2026, o governo dos Estados Unidos concluiu uma investigação comercial que tinha o Pix como alvo direto. O relatório acusou o Brasil de “prejudicar injustamente empresas americanas” por meio de políticas que favorecem o sistema nacional de pagamentos instantâneos.

Segundo a BBC News Brasil, o presidente Lula respondeu com um cartaz que dizia “O Pix é do Brasil” e sugeriu que os EUA adotassem o sistema em vez de taxá-lo. A disputa coloca o Pix no centro de uma tensão comercial entre as duas maiores economias do hemisfério — e torna a segurança do sistema uma questão de soberania nacional, não apenas técnica.

O recado é claro: se o Pix é cobiçado por países vizinhos da América Latina, Ásia e África, conforme revelou o regulador, e ao mesmo tempo atacado por potências comerciais rivais, a segurança cibernética deixou de ser opcão para virar condição de existência.

Referências