O presidente do BC (Banco Central), Gabriel Galípolo, disse nesta 6ª feira (5.set.2025) que as fintechs e outras instituições ligadas ao setor financeiro são “vítimas” do crime organizado. O Banco Central anunciou um limite de movimentação de R$ 15.000 de TED (Transferência Eletrônica Disponível) e Pix tanto às instituições de pagamento não autorizadas pelo BC quanto instituições que têm acesso ao sistema financeiro via PSTI (Prestadora de Serviços de Tecnologia da Informação).
Galípolo declarou que o sistema financeiro está unido para combater o ataque do crime organizado. O anúncio foi feito nesta 6ª feira (5.set.2025). Eis a íntegra do comunicado (PDF – 90 kB).
“Faria Lima ou Fintech são as vítimas do crime organizado. Tanto os bancos chamados de incumbentes quanto os novos entrantes no mercado foram responsáveis por uma inclusão fantástica do ponto de vista do sistema financeiro, facilitação com prestação de serviços para a população. Isso é absolutamente essencial para que o Brasil tenha a posição que ele tem hoje privilegiada do ponto de vista tecnológico dentro do sistema financeiro e tão admirado fora do Brasil”, declarou o presidente do BC.
Assista ao vivo:
O Banco Central anunciou medidas de segurança do sistema financeiro que foram aprovadas em reunião da diretoria da autoridade monetária. Além do presidente da instituição, participaram da entrevista os diretores de Relacionamento, Cidadania e Supervisão de Conduta, Izabela Correa, e de Regulação, Gilneu Vivan, e o secretário-executivo do BC, Rogério Lucca.
As companhias que atestarem a adoção de controles de segurança da informação poderão ser dispensados da limitação de R$ 15.000 por até 90 dias. A medida entrará em vigor após a publicação da norma, prevista para 18h desta 6ª feira (5.set.2025).
Galípolo disse que 99% das movimentações de PJ (pessoas físicas) ficam abaixo de R$ 15.000. Para PF (pessoa física), a média é de R$ 3.500. O objetivo é fazer com que o Banco Central tenha controle sobre os limites de recursos que possam ser alvos de ataques de hackers.
As PSTI terão esse limite quanto não se adequarem aos novos processos de controle e segurança. O limite de R$ 15.000 em movimentação será revogado por até 90 dias se atestarem a adoção de práticas obrigatórias que entram em vigor imediatamente.
ATAQUES NO SISTEMA FINANCEIRO
As medidas anunciadas nesta 6ª feira (5.set.2025) foram adotadas depois dos últimos casos de fragilidade no sistema financeiro. O 1º caso emblemático foi em 2 de julho deste ano, quando o BC detectou uma invasão contra a C&M Software, uma prestadora de serviço de tecnologia –empresa que não é regulamentada pela autoridade monetária.
A Polícia Civil de São Paulo prendeu no dia seguinte ao caso, em 3 de julho, João Nazareno Roque, ex-funcionário da empresa que teria contribuído para desvios de R$ 800 milhões de 8 instituições financeiras. A Justiça de São Paulo decretou em 11 de julho a prisão preventiva do técnico de TI.
Em 1º de setembro, novas instituições foram alvo de invasão, incluindo o banco HSBC Brasil e a sociedade de crédito Artta. Os criminosos desviaram, pelo menos, R$ 710 milhões. A fragilidade do sistema teria ocorrido na Sinqia Digital, que também é uma fintech –empresa que presta serviços de tecnologia para o setor financeiro– não regulada pelo Banco Central.
Tanto a C&M Software quanto a Sinqia Digital são empresas prestadoras de serviços que não são regulamentadas pelo Banco Central. Apesar disso, são mantidas pelas instituições financeiras junto ao BC para liquidar operações no SPB (Sistema de Pagamentos Brasileiro), como o Pix.
As transações irregulares foram realizadas por meio da exploração de credenciais legítimas de fornecedores de TI. Na 3ª feira (2.set.2025), a Sinqia afirma que encerrou o acesso dessas credenciais e que não há indícios de comprometimento de dados pessoais.
O Banco Central defende que a infraestrutura do sistema de pagamento instantâneo não foi impactado e segue segura. Além disso, a autoridade monetária afirma que o volume desviado não afetou os clientes bancários, somente as contas reservas das instituições que contrataram as prestadoras de serviços.
Outras tentativas de invasão foram registradas nos últimos dias, mesmo que em outros moldes. O Poder360 apurou que o Santander Brasil foi alvo de ataque hacker na tarde de 5ª feira (4.set.2025). Ação consistiu em um grande volume de consultas simultâneas por meio de QR Code de Pix que resultou em instabilidade e interrupção de serviços. Não houve desvio de recursos nem acesso a dados. A este jornal digital, o banco informou que “atuou com sucesso para bloquear os acessos indevidos e reportou o fato às autoridades”.