O Banco Central vai limitar ou suspender o acesso ao Pix de bancos e fintechs com controles de segurança cibernética insuficientes, após golpes digitais que somam R$ 1,5 bilhão nos últimos 12 meses. As fraudes contra o sistema financeiro saltaram de 15% para 79% dos incidentes em dois anos, e o regulador está mapeando a infraestrutura de TI de 1.745 instituições para aplicar sanções que incluem limites de transação, restrição de horário e suspensão temporária do meio de pagamento.
R$ 1,5 bi em golpes
O Banco Central registrou perdas superiores a R$ 1,5 bilhão decorrentes de golpes digitais contra instituições financeiras brasileiras no período de um ano. O número foi revelado nesta semana pela própria autoridade monetária como justificativa para o endurecimento das regras de acesso ao Pix — o sistema de pagamentos instantâneos que movimentou mais de R$ 3 trilhões até outubro de 2025.
O dado mais alarmante está na composição dos incidentes. Em 2024, fraudes representavam apenas 15% dos 59 incidentes registrados no setor financeiro. Em 2025, esse percentual saltou para mais da metade de um total de 76 ocorrências — um aumento de quase 30% no volume geral. Nos primeiros cinco meses de 2026, a situação piorou: dos 43 incidentes contabilizados, 34 foram fraudes diretas, ou seja, 79% do total. A tendência é inequívoca e o Banco Central decidiu agir.
| Ano | Total de incidentes | Fraudes diretas | % de fraudes |
|---|---|---|---|
| 2024 | 59 | 9 | 15% |
| 2025 | 76 | 39 | 51% |
| 2026 (jan–mai) | 43 | 34 | 79% |
O que muda para bancos
O regulador enviou em maio um amplo questionário para 1.745 instituições autorizadas a operar no país. O objetivo é mapear o nível de conformidade com os controles exigidos pelas normas vigentes — incluindo o manual de segurança do Pix — e identificar lacunas nas políticas internas de cada banco ou fintech.
Segundo reportagem da O Globo, o BC está montando um mapa completo da infraestrutura de TI de todo o sistema financeiro nacional. Caso as respostas do questionário diverjam do monitoramento diário que o Banco Central já realiza, a instituição pode ser convocada para apresentar documentos adicionais ou passar por ações de supervisão mais rigorosas.
As sanções previstas são contundentes. Instituições que não atenderem aos requisitos mínimos podem sofrer:
- Limites de valor por transação Pix — a medida de R$ 15 mil, já aplicada a parte dos bancos em 2025, pode ser estendida a um número maior de players;
- Restrição de horário para operações via Pix;
- Suspensão temporária do meio de pagamento;
- Multas e outras penalidades administrativas.
A estratégia do Banco Central é usar a restrição como incentivo: ao ameaçar cortar ou limitar o acesso ao Pix — o principal canal de receita de muitas fintechs —, o regulador força as empresas a investirem em segurança cibernética de forma proativa, não apenas reativa.
O roubo do ano
O catalisador dessa mudança ocorreu em junho de 2025, quando hackers desviaram aproximadamente R$ 800 milhões de instituições financeiras por meio da provedora de tecnologia C&M Software. A empresa intermediava a conexão entre bancos menores e os sistemas do Banco Central.
Esse episódio — batizado de “roubo do ano” pelo mercado — expôs uma vulnerabilidade estrutural: a cadeia de suprimentos de TI do sistema financeiro brasileiro. Não foi o banco final que foi invadido, mas um prestador de serviços que tinha acesso privilegiado ao Pix. O mesmo padrão de ataques voltados ao ecossistema bancário se repete em campanhas como o RedWing, malware Android vendido no Telegram especificamente para roubar credenciais de acesso bancário.
O incidente da C&M Software demonstrou que a segurança de uma fintech ou banco pequeno é tão forte quanto o elo mais fraco da sua cadeia tecnológica. E é exatamente esse ponto que o novo questionário do BC quer endereçar.
Fraudes sobem 79% em dois anos
A reportagem de O Globo revelou que, dentro do Banco Central, incidentes de segurança cibernética são tratados com a mesma gravidade atribuída a uma queda de avião: cada caso é investigado a fundo, com análise de causa raiz e exigência de correções imediatas.
A aceleração das fraudes — de 15% para 79% dos incidentes em dois anos — reflete uma realidade global. Segundo estudo da NTT Data citado pelo Jornal Econômico, as perdas não seguradas associadas a ataques cibernéticos devem ultrapassar US$ 700 bilhões até 2030. O setor financeiro é o alvo número um, e o Brasil é um dos países mais atacados no mundo — os incidentes cibernéticos triplicaram no país em 2026, segundo o GSI (Gabinete de Segurança Institucional).
A combinação de Pix instantâneo, bancarização massiva (170 milhões de usuários) e infraestrutura de segurança heterogênea entre grandes bancos e pequenas fintechs cria um terreno fértil para criminosos que operam com velocidade e escala.
Impacto para o usuário
Para o cidadão que usa o Pix diariamente, a mudança mais visível pode ser a imposição de limites de transação em determinadas instituições. Se o seu banco ou fintech não atender aos padrões de segurança do BC, você pode se deparar com teto de R$ 15 mil por operação ou restrições de horário.
O lado positivo é que a pressão do regulador deve elevar o piso de segurança de todo o ecossistema. Instituições que hoje operam com controles mínimos serão forçadas a investir em autenticação multifator robusta, monitoramento de transações em tempo real, criptografia de ponta a ponta e auditoria periódica de fornecedores de tecnologia.
Enquanto as novas regras não são totalmente implementadas, o conselho permanece o mesmo: desconfie de links recebidos por Pix, confirme transações atípicas por canal independente e prefira instituições que demonstrem compromisso transparente com segurança cibernética.
Pix como alvo geopolítico
O endurecimento do Banco Central ganha relevância extra num contexto geopolítico complexo. Em junho de 2026, o governo dos Estados Unidos concluiu uma investigação comercial que tinha o Pix como alvo direto. O relatório acusou o Brasil de “prejudicar injustamente empresas americanas” por meio de políticas que favorecem o sistema nacional de pagamentos instantâneos.
Segundo a BBC News Brasil, o presidente Lula respondeu com um cartaz que dizia “O Pix é do Brasil” e sugeriu que os EUA adotassem o sistema em vez de taxá-lo. A disputa coloca o Pix no centro de uma tensão comercial entre as duas maiores economias do hemisfério — e torna a segurança do sistema uma questão de soberania nacional, não apenas técnica.
O recado é claro: se o Pix é cobiçado por países vizinhos da América Latina, Ásia e África, conforme revelou o regulador, e ao mesmo tempo atacado por potências comerciais rivais, a segurança cibernética deixou de ser opcão para virar condição de existência.
Referências
- BC pode limitar acesso ao Pix de fintechs e bancos com segurança cibernética fraca — O Globo
- Quem criou o Pix? Como nasceu o sistema de pagamentos na mira do governo Trump — BBC News Brasil
- Pix — Banco Central do Brasil
- Perdas não seguradas vão superar US$ 700 bi até 2030, diz NTT Data — Jornal Econômico
- FecomercioSP amplia atuação em defesa do Marco Legal de Cibersegurança — TI Inside