Bom dia! Antes de irmos para os temas da edição da news, que tal uma novidade?
Julho continua intenso e o Pix entrou na linha de fogo. O Banco Central suspendeu seis instituições por suspeita de ligação com o desvio bilionário do ataque hacker da última semana, acendendo o alerta máximo sobre segurança, terceirização e risco operacional no coração do sistema de pagamentos.
Enquanto isso, o Pay by Bank acelera na Europa com cases de embedded finance que fazem o checkout parecer coisa do passado e, no Vale do Silício, um programador freelancer transforma sobrecarga de trabalho em modelo de negócios (ou quase golpe).
Na Let’s Money de hoje:
🔍 PIX sob ataque: BC suspende instituições ligadas a ataque hacker e expõe fragilidade na cadeia digital do sistema financeiro.
📊 Zap Pay: agência de marketing vira plataforma de pagamentos com open banking e cartões integrados.
🎭 Soham Parekh: o freelancer “genial” que enganou startups do Vale do Silício e viralizou.
A Let’s Money é a newsletter que te conta tudo o que é mais interessante da indústria financeira, de forma organizada e de graça 😁
PAYMENTS
⛰️ A Rachadura no Sistema
O Banco Central acaba de suspender seis instituições financeiras do Pix por suspeita de envolvimento no megavazamento do sistema da C&M Software. Mas não se trata apenas de um apagão técnico. A reação do BC evidencia fragilidades operacionais e regulatórias na cadeia de terceirização digital do sistema financeiro, além de abrir espaço para uma reflexão mais ampla: quem responde quando a segurança do core bancário é rompida de dentro?
🔍 O que está acontecendo
-
O ataque hacker à C&M Software, empresa que conecta instituições ao SPB, permitiu a invasão de contas reservas da BMP no próprio sistema do BC;
-
Os recursos foram transferidos por Pix e, em muitos casos, rapidamente convertidos em criptoativos;
-
O BC suspendeu preventivamente seis instituições financeiras do arranjo Pix: Transfeera, Soffy, Nuoro Pay, Voluti, Brasil Cash e S3 Bank — todas suspeitas de terem recebido parte dos valores desviados;
-
A suspensão cautelar tem base no artigo 95-A da Resolução 30, que permite a exclusão de participantes que coloquem em risco o funcionamento do arranjo.
💥 Terceirização sem blindagem
O caso escancara um ponto sensível: o ataque não partiu de um banco, mas de um prestador autorizado que nem sequer movimenta dinheiro diretamente. Um funcionário interno da C&M confessou ter vendido sua senha de acesso por R$ 15 mil, abrindo caminho para que hackers orquestrassem mais de 160 transações em poucas horas.
Mesmo empresas reguladas, como a BMP, com reserva compulsória e colaterais, se viram vulneráveis. Isso mostra como a arquitetura do sistema, e não só as instituições individualmente, pode ser explorada quando uma peça da engrenagem falha.
🧯 A resposta do BC
A suspensão das instituições, ainda que temporária, mostra o BC exercendo seu papel de freio sistêmico para conter o risco de contaminação no Pix. A lógica é clara: isolar as instituições ligadas ao desvio enquanto a apuração segue. Mas o episódio levanta questões duras:
-
Como garantir a governança e resiliência de infraestruturas terceirizadas que operam no núcleo do sistema financeiro?
-
Até onde vai o alcance da supervisão do BC sobre provedores “por trás do pano”?
-
E o que muda na avaliação de risco operacional a partir de agora?
⚠️ A reconfiguração do risco
A depender dos desdobramentos, esse pode ser um marco na forma como bancos e fintechs estruturam suas cadeias de dependência digital.
Especialmente em um contexto em que Open Finance, BaaS e integrações por APIs tornam as fronteiras entre “núcleo” e “parceiro” cada vez mais difusas.
Para quem está no comando de produto, risco ou tecnologia, a lição é direta: não basta confiar no escopo da regulação. É preciso garantir que a arquitetura de segurança acompanhe a complexidade dos fluxos.
Em nota, a Transfeera afirmou que está colaborando com as autoridades para a liberação do Pix. Segundo a instituição, nenhum cliente foi afetado pelo incidente e os demais serviços, para além do Pix, estão funcionando normalmente.”Nossa instituição, tampouco nossos clientes, foram afetados pelo incidente e estamos colaborando com as autoridades para liberação da funcionalidade de pagamento instantâneo.”
LINKS
O que você precisa saber
🔗 BBVA lança serviço de negociação e custódia de Bitcoin e Ether
🔗 SIX conclui aquisição da Aquis para expandir negócios de câmbio europeus
🔗 XP Asset de olho em unicórnios
🔗 Monoova, SuperAPI e Payroo fazem parceria para lançar solução de folha de pagamento com um clique
🔗 Cinco bancos belgas aderem à iniciativa europeia de pagamentos
🔗 Setor de fintech se prepara para nova onda de disrupção com a chegada da IA
🔗 IA e os novos unicórnios tecnológicos em 2025
🔗 Brex se reinventa com IA
🔗 Fundador e CEO da Increase compra fatia de banco
🔗 Pay10 obtém licença do Banco Central do Bahrein para soluções de pagamento em tempo real
🔗 Ex-BC é contratado pelo Nubank
🔗 Sistema ainda tem brechas, diz ABFintechs
PAYMENTS
💳 Zap entra em pagamentos com TrueLayer e DNA
O movimento é claro: empresas de fora do sistema financeiro tradicional estão cada vez mais plugando infraestrutura bancária para controlar o pagamento de ponta a ponta. É o caso da Zap, agência digital britânica que agora opera também como provedora de pagamentos, com direito a checkout próprio e parcerias com TrueLayer (open banking) e DNA Payments (cartão).
O Zap Cashier une duas pontas da experiência digital: uma jornada de pagamento fluida para o usuário e uma plataforma nativa para comerciantes economizarem tempo, taxas e fricção.
-
Lançou o Zap Cashier, um checkout proprietário que combina Pay by Bank (via TrueLayer) e pagamentos com cartão (via DNA Payments);
-
Já atende mais de 25% da base de clientes com a solução própria de pagamentos;
-
Reduziu recusas de pagamento, aumentou conversão e integrou funcionalidades diretamente ao CMS de seus clientes.
O caso mostra como empresas digitais estão se apropriando dos pagamentos como parte da experiência do produto, não só como uma camada transacional. Por trás do sucesso da iniciativa está a tendência crescente do Pay by Bank, modelo de pagamento direto por conta, via APIs abertas, que tem ganhado tração especialmente no Reino Unido. É um caminho que se aproxima das experiências de Pix no Brasil, mas com camada extra de personalização e controle para o merchant e potencial de monetização direta para quem controla a jornada.
O lançamento da Zap expõe um movimento cada vez mais comum: marcas não-financeiras se transformando em plataformas de pagamento. “Empresas de todos os setores estão recorrendo ao Pay by Bank para oferecer melhores experiências ao usuário e custos de pagamento mais baixos”, disse Mariko Beising, da TrueLayer.
NÚMERO
Cidade Unicórnio?
📊 No primeiro trimestre de 2025, São Francisco atraiu quase metade de todo o capital de risco global. De acordo com o Startup Ecosystem Index 2025, estas são as principais cidades do mundo para startups, com base em:
✔️ Investimento privado total
✔️ Número de startups ativas
✔️ Número de unicórnios criados
🔝 5 melhores:
1️⃣ São Francisco (pontuação: 853)
2️⃣ Nova Iorque (316)
3️⃣ Londres (187)
4️⃣ Los Angeles (139)
5️⃣ Pequim (137)
STARTUPS
Soham Parekh: o inimigo do Vale do Silício?
Soham Parekh virou o hustler mais comentado do ecossistema tech nos últimos dias. Apresentando-se como um engenheiro incansável, que trabalhava 140 horas por semana e dormia pouco, Parekh surfou a estética do hustle porn e foi contratado, demitido e recontratado por pelo menos cinco startups de IA e software dos EUA… ao mesmo tempo.
A questão não é só “como ele conseguiu?”, mas: que tipo de ambiente permitiu isso acontecer?
PSA: there’s a guy named Soham Parekh (in India) who works at 3-4 startups at the same time. He’s been preying on YC companies and more. Beware.
I fired this guy in his first week and told him to stop lying / scamming people. He hasn’t stopped a year later. No more excuses.
— #Suhail (#@Suhail)
5:52 AM • Jul 2, 2025
🤖 O modus operandi
-
Parekh atuou simultaneamente em até quatro startups como funcionário full-time — sem que uma soubesse da outra.
-
Ele recebia propostas generosas, dava calotes suaves em entregas e justificava ausências com discursos sobre dedicação extrema ao trabalho.
-
Quando demitido por uma empresa, logo era contratado por outra geralmente do mesmo ecossistema, como YC-backed.
-
Sua rotina de trabalho performática virou conteúdo: 20h por dia, 7 dias por semana, 0 vida pessoal. Parecia ficção. E talvez fosse.
Essa história não é só sobre fraude. É sobre o quão vulnerável pode ser o modelo de contratação das startups — principalmente em contextos remotos, acelerados e baseados em “confiança de founder”.
Soham explorou falhas no sistema:
-
Contratações feitas em velocidade recorde, sem due diligence técnica ou checagem de background.
-
Times distribuídos que não cruzam dados básicos de produtividade ou presença.
-
Processos seletivos centrados em storytelling, não em entrega.
Em paralelo, Parekh virou símbolo de um fenômeno conhecido: a construção de reputações virais em cima de dedicação extrema. Só que, nesse caso, o storytelling virou proteção.
Vários founders relataram que Parekh se apresentava como alguém em dificuldades financeiras, apaixonado pelo trabalho e que aceitava salários baixos em troca de participação. Mesmo assim, pulava de startup em startup, acumulando cargos e capital social.
O detalhe? Ele não usava IA para automatizar o trabalho e não contratava terceiros para ajudar. Ou seja: fazia (ou não fazia) tudo na unha.
O caso escancara um ponto crítico: muitas startups, mesmo com funding e ambições globais, ainda operam como se fossem grupos de WhatsApp com capital.
Confiam demais. Documentam de menos. Exigem intensidade — mas nem sempre sabem o que isso significa na prática.
E o mais curioso: mesmo após ser desmascarado, Parekh anunciou um novo emprego em uma startup de IA. A empresa apagou a publicação horas depois.
Quantos Sohams estão operando hoje em startups que ainda confundem grind com entrega e hype com competência?
Entrevista
MURILLO RESTIER (DIRETOR DE NOVOS NEGÓCIOS DA FISERV)
Nos vemos na próxima edição!
Agora todas terças e sextas.
Abraços,
Equipe Let’s Money
