Bom dia! Antes de irmos para os temas da edição da news, que tal uma novidade?
Julho continua intenso e o Pix entrou na linha de fogo. O Banco Central suspendeu seis instituições por suspeita de ligação com o desvio bilionário do ataque hacker da última semana, acendendo o alerta máximo sobre segurança, terceirização e risco operacional no coração do sistema de pagamentos.
Enquanto isso, o Pay by Bank acelera na Europa com cases de embedded finance que fazem o checkout parecer coisa do passado e, no Vale do Silício, um programador freelancer transforma sobrecarga de trabalho em modelo de negócios (ou quase golpe).
Na Let’s Money de hoje:
🔍 PIX sob ataque: BC suspende instituições ligadas a ataque hacker e expõe fragilidade na cadeia digital do sistema financeiro.
📊 Zap Pay: agência de marketing vira plataforma de pagamentos com open banking e cartões integrados.
🎭 Soham Parekh: o freelancer “genial” que enganou startups do Vale do Silício e viralizou.
A Let’s Money é a newsletter que te conta tudo o que é mais interessante da indústria financeira, de forma organizada e de graça 😁
PAYMENTS
⛰️ A Rachadura no Sistema
O Banco Central acaba de suspender seis instituições financeiras do Pix por suspeita de envolvimento no megavazamento do sistema da C&M Software. Mas não se trata apenas de um apagão técnico. A reação do BC evidencia fragilidades operacionais e regulatórias na cadeia de terceirização digital do sistema financeiro, além de abrir espaço para uma reflexão mais ampla: quem responde quando a segurança do core bancário é rompida de dentro?
🔍 O que está acontecendo
O ataque hacker à C&M Software, empresa que conecta instituições ao SPB, permitiu a invasão de contas reservas da BMP no próprio sistema do BC;
Os recursos foram transferidos por Pix e, em muitos casos, rapidamente convertidos em criptoativos;
O BC suspendeu preventivamente seis instituições financeiras do arranjo Pix: Transfeera, Soffy, Nuoro Pay, Voluti, Brasil Cash e S3 Bank — todas suspeitas de terem recebido parte dos valores desviados;
A suspensão cautelar tem base no artigo 95-A da Resolução 30, que permite a exclusão de participantes que coloquem em risco o funcionamento do arranjo.
💥 Terceirização sem blindagem
O caso escancara um ponto sensível: o ataque não partiu de um banco, mas de um prestador autorizado que nem sequer movimenta dinheiro diretamente. Um funcionário interno da C&M confessou ter vendido sua senha de acesso por R$ 15 mil, abrindo caminho para que hackers orquestrassem mais de 160 transações em poucas horas.
Mesmo empresas reguladas, como a BMP, com reserva compulsória e colaterais, se viram vulneráveis. Isso mostra como a arquitetura do sistema, e não só as instituições individualmente, pode ser explorada quando uma peça da engrenagem falha.
🧯 A resposta do BC
A suspensão das instituições, ainda que temporária, mostra o BC exercendo seu papel de freio sistêmico para conter o risco de contaminação no Pix. A lógica é clara: isolar as instituições ligadas ao desvio enquanto a apuração segue. Mas o episódio levanta questões duras:
Como garantir a governança e resiliência de infraestruturas terceirizadas que operam no núcleo do sistema financeiro?
Até onde vai o alcance da supervisão do BC sobre provedores “por trás do pano”?
E o que muda na avaliação de risco operacional a partir de agora?
⚠️ A reconfiguração do risco
A depender dos desdobramentos, esse pode ser um marco na forma como bancos e fintechs estruturam suas cadeias de dependência digital.
Especialmente em um contexto em que Open Finance, BaaS e integrações por APIs tornam as fronteiras entre “núcleo” e “parceiro” cada vez mais difusas.
Para quem está no comando de produto, risco ou tecnologia, a lição é direta: não basta confiar no escopo da regulação. É preciso garantir que a arquitetura de segurança acompanhe a complexidade dos fluxos.
Em nota, a Transfeera afirmou que está colaborando com as autoridades para a liberação do Pix. Segundo a instituição, nenhum cliente foi afetado pelo incidente e os demais serviços, para além do Pix, estão funcionando normalmente."Nossa instituição, tampouco nossos clientes, foram afetados pelo incidente e estamos colaborando com as autoridades para liberação da funcionalidade de pagamento instantâneo."
LINKS
O que você precisa saber
🔗 BBVA lança serviço de negociação e custódia de Bitcoin e Ether
🔗 SIX conclui aquisição da Aquis para expandir negócios de câmbio europeus
🔗 XP Asset de olho em unicórnios
🔗 Monoova, SuperAPI e Payroo fazem parceria para lançar solução de folha de pagamento com um clique
🔗 Cinco bancos belgas aderem à iniciativa europeia de pagamentos
🔗 Setor de fintech se prepara para nova onda de disrupção com a chegada da IA
🔗 IA e os novos unicórnios tecnológicos em 2025
🔗 Brex se reinventa com IA
🔗 Fundador e CEO da Increase compra fatia de banco
🔗 Pay10 obtém licença do Banco Central do Bahrein para soluções de pagamento em tempo real
🔗 Ex-BC é contratado pelo Nubank
🔗 Sistema ainda tem brechas, diz ABFintechs
PAYMENTS
💳 Zap entra em pagamentos com TrueLayer e DNA
O movimento é claro: empresas de fora do sistema financeiro tradicional estão cada vez mais plugando infraestrutura bancária para controlar o pagamento de ponta a ponta. É o caso da Zap, agência digital britânica que agora opera também como provedora de pagamentos, com direito a checkout próprio e parcerias com TrueLayer (open banking) e DNA Payments (cartão).
O Zap Cashier une duas pontas da experiência digital: uma jornada de pagamento fluida para o usuário e uma plataforma nativa para comerciantes economizarem tempo, taxas e fricção.
Lançou o Zap Cashier, um checkout proprietário que combina Pay by Bank (via TrueLayer) e pagamentos com cartão (via DNA Payments);
Já atende mais de 25% da base de clientes com a solução própria de pagamentos;
Reduziu recusas de pagamento, aumentou conversão e integrou funcionalidades diretamente ao CMS de seus clientes.
O caso mostra como empresas digitais estão se apropriando dos pagamentos como parte da experiência do produto, não só como uma camada transacional. Por trás do sucesso da iniciativa está a tendência crescente do Pay by Bank, modelo de pagamento direto por conta, via APIs abertas, que tem ganhado tração especialmente no Reino Unido. É um caminho que se aproxima das experiências de Pix no Brasil, mas com camada extra de personalização e controle para o merchant e potencial de monetização direta para quem controla a jornada.
O lançamento da Zap expõe um movimento cada vez mais comum: marcas não-financeiras se transformando em plataformas de pagamento. “Empresas de todos os setores estão recorrendo ao Pay by Bank para oferecer melhores experiências ao usuário e custos de pagamento mais baixos”, disse Mariko Beising, da TrueLayer.
NÚMERO
Cidade Unicórnio?
📊 No primeiro trimestre de 2025, São Francisco atraiu quase metade de todo o capital de risco global. De acordo com o Startup Ecosystem Index 2025, estas são as principais cidades do mundo para startups, com base em:
✔️ Investimento privado total
✔️ Número de startups ativas
✔️ Número de unicórnios criados
🔝 5 melhores:
1️⃣ São Francisco (pontuação: 853)
2️⃣ Nova Iorque (316)
3️⃣ Londres (187)
4️⃣ Los Angeles (139)
5️⃣ Pequim (137)
STARTUPS
Soham Parekh: o inimigo do Vale do Silício?
Soham Parekh virou o hustler mais comentado do ecossistema tech nos últimos dias. Apresentando-se como um engenheiro incansável, que trabalhava 140 horas por semana e dormia pouco, Parekh surfou a estética do hustle porn e foi contratado, demitido e recontratado por pelo menos cinco startups de IA e software dos EUA… ao mesmo tempo.
A questão não é só “como ele conseguiu?”, mas: que tipo de ambiente permitiu isso acontecer?
PSA: there’s a guy named Soham Parekh (in India) who works at 3-4 startups at the same time. He’s been preying on YC companies and more. Beware.
I fired this guy in his first week and told him to stop lying / scamming people. He hasn’t stopped a year later. No more excuses.
— #Suhail (#@Suhail)
5:52 AM • Jul 2, 2025
🤖 O modus operandi
Parekh atuou simultaneamente em até quatro startups como funcionário full-time — sem que uma soubesse da outra.
Ele recebia propostas generosas, dava calotes suaves em entregas e justificava ausências com discursos sobre dedicação extrema ao trabalho.
Quando demitido por uma empresa, logo era contratado por outra geralmente do mesmo ecossistema, como YC-backed.
Sua rotina de trabalho performática virou conteúdo: 20h por dia, 7 dias por semana, 0 vida pessoal. Parecia ficção. E talvez fosse.
Essa história não é só sobre fraude. É sobre o quão vulnerável pode ser o modelo de contratação das startups — principalmente em contextos remotos, acelerados e baseados em "confiança de founder".
Soham explorou falhas no sistema:
Contratações feitas em velocidade recorde, sem due diligence técnica ou checagem de background.
Times distribuídos que não cruzam dados básicos de produtividade ou presença.
Processos seletivos centrados em storytelling, não em entrega.
Em paralelo, Parekh virou símbolo de um fenômeno conhecido: a construção de reputações virais em cima de dedicação extrema. Só que, nesse caso, o storytelling virou proteção.
Vários founders relataram que Parekh se apresentava como alguém em dificuldades financeiras, apaixonado pelo trabalho e que aceitava salários baixos em troca de participação. Mesmo assim, pulava de startup em startup, acumulando cargos e capital social.
O detalhe? Ele não usava IA para automatizar o trabalho e não contratava terceiros para ajudar. Ou seja: fazia (ou não fazia) tudo na unha.
O caso escancara um ponto crítico: muitas startups, mesmo com funding e ambições globais, ainda operam como se fossem grupos de WhatsApp com capital.
Confiam demais. Documentam de menos. Exigem intensidade — mas nem sempre sabem o que isso significa na prática.
E o mais curioso: mesmo após ser desmascarado, Parekh anunciou um novo emprego em uma startup de IA. A empresa apagou a publicação horas depois.
Quantos Sohams estão operando hoje em startups que ainda confundem grind com entrega e hype com competência?
Entrevista
MURILLO RESTIER (DIRETOR DE NOVOS NEGÓCIOS DA FISERV)
Nos vemos na próxima edição!
Agora todas terças e sextas.
Abraços,
Equipe Let’s Money
