Ataque hacker à Sinqia desvia R$ 670 mi e reacende alerta no Pix

Na sexta-feira (29), a Sinqia — empresa que conecta bancos ao sistema Pix — sofreu um ataque hacker que resultou no desvio de R$ 670 milhões. Do montante, R$ 630 milhões eram do HSBC e R$ 40 milhões da Sociedade de Crédito Direto Artta, segundo “O Globo”. Criminosos ainda tentaram movimentar mais de R$ 1 bilhão, mas parte foi bloqueada pelo Banco Central (BC). Até agora, R$ 366 milhões foram recuperados.

O HSBC afirmou que contas de clientes não foram afetadas. A Artta reforçou que o ataque atingiu apenas suas contas de liquidação no BC. Já a Sinqia, controlada pela Evertec, confirmou o incidente e disse que reconstrói os sistemas em um “novo ambiente com monitoramento e controles aprimorados”.

Esse é o segundo grande ataque em dois meses a empresas que dão suporte ao Pix. Em julho, a C&M Software sofreu fraude semelhante, com prejuízo acima de R$ 800 milhões. Os dois episódios têm um ponto em comum: o modelo de supply chain attack, em que hackers exploram vulnerabilidades de provedores intermediários em vez de mirar diretamente os bancos.

A reincidência levanta uma questão sistêmica: o Pix é seguro em sua base, mas sua arquitetura depende de elos terceirizados nem sempre tão blindados. Especialistas já defendem regras mais duras de supervisão para provedores de conectividade.

O problema é que o Banco Central — responsável por zelar pelo sistema — enfrenta perda de quadros técnicos e aumento de atribuições. O risco é claro: um meio de pagamento que hoje responde por mais da metade das transações eletrônicas do país pode estar exposto onde menos se esperava.

O ataque não comprometeu contas de clientes, mas expôs uma vulnerabilidade estrutural. Se o Pix é infraestrutura crítica, a proteção dos seus bastidores precisa estar no mesmo nível.