8 de julho de 2026

Hackers desviaram R$ 710 milhões, diz empresa que liga bancos ao Pix

Hackers desviaram R$ 710 milhões, diz empresa que liga bancos ao Pix
Hackers desviaram R$ 710 milhões, diz empresa que liga bancos ao Pix

Alvo de um ataque hacker, na última sexta-feira (29/8), a Sinqia – empresa de tecnologia que presta serviços para instituições financeiras – se manifestou nesta terça-feira (2/9), por meio de nota, e estimou em cerca de R$ 710 milhões o tamanho do rombo na ação criminosa digital.

De acordo com a empresa, que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) – o que engloba o ambiente de liquidação do Pix, sistema de transferências e pagamentos instantâneos criado pelo Banco Central (BC) em 2020 e amplamente utilizado pelos brasileiros –, “aproximadamente R$ 710 milhões em transações B2B não autorizadas, impactando duas instituições financeiras clientes da Sinqia, foram processados por meio do ambiente Pix” da companhia, no dia 29 de agosto.

- Publicidade -

“A empresa foi informada que parte deste valor foi recuperada e esforços adicionais de recuperação estão em andamento”, diz a nota da Sinqia.

As informações fazem parte de um relatório elaborado pela empresa Evertec, de Porto Rico, que controla a Sinqia. O documento foi entregue à Comissão de Valores Mobiliários dos Estados Unidos (SEC, na sigla em inglês). Os dados foram obtidos por meio de uma análise forense contratada pela Sinqia.

Leia também

O ataque hacker

Inicialmente, a estimativa era a de que teriam sido desviados cerca de R$ 670 milhões no ataque hacker – dos quais R$ 630 milhões do banco HSBC e outros R$ 40 milhões da fintech Artta, uma Sociedade de Crédito Direto (SCD).

Sociedade de Crédito Direto (SCD) é uma instituição financeira autorizada BC que concede empréstimos e financiamentos usando capital próprio, de forma 100% digital. Ao contrário dos bancos, ela não pode captar depósitos do público – deve utilizar recursos financeiros próprios e na operação via plataforma eletrônica.

Fintechs são empresas que introduzem inovações no mercado financeiro por meio do uso intenso de tecnologia, com potencial para a criação de novos modelos de negócios. Elas atuam por meio de plataformas on-line e oferecem serviços digitais relacionados ao setor.

No Brasil, há várias categorias de fintechs, como as de crédito, pagamento, gestão financeira, empréstimo, investimento, financiamento, seguro, negociação de dívidas, câmbio e multisserviços.

Estima-se que o BC tenha conseguido bloquear, até aqui, cerca de R$ 360 milhões do montante desviado. A autoridade monetária ainda não se manifestou sobre o caso.

De acordo com a Sinqia, foi identificada uma atividade não autorizada em seu ambiente que acessa o sistema do Pix.

“Ao detectar esse incidente, e agindo de acordo com seus protocolos de resposta, a Sinqia suspendeu o processamento de transações em seu ambiente Pix e começou a trabalhar com especialistas de cibersegurança externos”, diz a empresa.

A Sinqia afirmou ainda que, segundo uma investigação preliminar, as transações não autorizadas ocorreram por meio da exploração de credenciais legítimas de fornecedores de Tecnologia da Informação (TI) da empresa. Após o incidente, todos os acessos a essas credenciais foram encerrados.

“A empresa acredita que o incidente se limita ao ambiente Pix da Sinqia e não identificou nenhuma atividade não autorizada em nenhum outro sistema Sinqia além do Pix no Brasil. A empresa também não tem indícios de que quaisquer dados pessoais tenham sido comprometidos”, diz a nota.

Desconectada do Pix

Desde que comunicou o BC sobre o episódio, na própria sexta-feira, a Sinqia está desconectada do Pix. No último domingo (31/8), a companhia apresentou ao BC um plano de retomada de seus serviços. A autoridade monetária ainda não se manifestou a respeito.

Atualmente, a Sinqia atende a 24 instituições, especialmente no mercado financeiro.

A companhia afirma que “está trabalhando diligentemente para obter aprovação para retomar o processamento de transações no Sistema de Pagamentos Brasileiro (SPB) e do Pix”.

Além do BC, o caso está sendo investigado pela Polícia Federal (PF) e pela Polícia Civil de São Paulo.

O que dizem HSBC e Artta

Também por meio de nota, o HSBC confirmou ter identificado transações via Pix em conta de um provedor do banco, mas garantiu que nenhuma conta de cliente ou de fundos foi atingida. A ação dos criminosos teria acontecido apenas no sistema desse provedor.

“O banco esclarece ainda que medidas foram tomadas para bloquear essas transações no ambiente do provedor. O HSBC reafirma o compromisso com a segurança de dados e está à disposição das autoridades para colaborar com as investigações”, diz o banco.

A Artta, por sua vez, afirma que comunicará seus clientes “assim que tiver uma posição oficial ou nova atualização sobre a retomada de conexão ao sistema Pix”.

“Reafirmamos nosso compromisso com a transparência e com a segurança dos recursos de nossos clientes”, diz nota da companhia.