Os recentes ataques à infraestrutura do Pix expuseram uma vulnerabilidade sistêmica que todo CIO e CISO precisa entender: os Prestadores de Serviços de Tecnologia da Informação (PSTIs) tornaram-se o alvo preferencial de organizações criminosas que profissionalizaram suas operações cibernéticas. Crime organizado 2.0 Em agosto de 2025, a invasão à Sinqia tentou desviar centenas de milhões […]
Os recentes ataques à infraestrutura do Pix expuseram uma vulnerabilidade sistêmica que todo CIO e CISO precisa entender: os Prestadores de Serviços de Tecnologia da Informação (PSTIs) tornaram-se o alvo preferencial de organizações criminosas que profissionalizaram suas operações cibernéticas.
Em agosto de 2025, a invasão à Sinqia tentou desviar centenas de milhões de reais. Dois meses antes, o ataque à C&M Software forçou o Banco Central a suspender três instituições do Pix por até 60 dias. O padrão se repete: criminosos comprometendo fornecedores para obter credenciais administrativas e atacar diretamente as contas de reserva que processam movimentações financeiras.
A mudança de cenário é preocupante. Organizações criminosas tradicionais migraram para o cibercrime com estruturas sofisticadas: criam fintechs de fachada para receber valores desviados, utilizam redes de laranjas para pulverizar quantias roubadas e exploram a velocidade do Pix para dificultar o rastreamento. Não falamos mais de hackers isolados — falamos de logística financeira complexa para monetização em escala.
Especialistas identificaram o problema mais grave: os certificados digitais e chaves privadas que assinam transações em nome dos bancos ficam sob custódia dos PSTIs, não dos próprios bancos. Quando um PSTI é comprometido, atacantes obtêm acesso legítimo para executar operações como se fossem instituições financeiras. É um protocolo de segurança fundamentalmente quebrado — a chave que assina a transação pelo banco está em poder do fornecedor, não da própria instituição.
Outras vulnerabilidades críticas incluem: gestão inadequada de identidades privilegiadas (PAM inexistente ou falho), ausência de arquitetura Zero Trust, monitoramento fragmentado sem correlação entre logs de fornecedores e clientes, MFA incompleta que não cobre APIs e contas de serviço e falta de gestão de atualizações e correções de falhas sistemas internos.
Em 5 de setembro de 2025, o Banco Central publicou a Resolução 498 estabelecendo novos requisitos para PSTIs, com prazo de adequação de apenas 4 meses:
Aqui está o desafio que poucos estão discutindo abertamente: seguradoras não aceitam qualquer instituição. As apólices exigem comprovação robusta de maturidade — controles implementados e operacionais, não apenas planos ou intenções. Sem PAM adequado, MFA resistente a phishing, SIEM, políticas documentadas de resposta a incidentes, backup imutável e custódia apropriada de certificados, instituições enfrentam prêmios proibitivos ou simplesmente têm cobertura negada.
Segundo especialistas do mercado segurador, muitas empresas sequer mensuram corretamente seus riscos digitais, e agora terão que estruturar políticas de compliance e contratação de apólices adequadas em tempo recorde.
Identity-First Security: PAM com segregação absoluta por cliente, MFA resistente a phishing, just-in-time access e monitoramento contínuo
Custódia adequada de certificados: chaves privadas sob controle exclusivo das instituições clientes usando HSM (Hardware Security Module)
Arquitetura Zero Trust: microsegmentação, validação contínua de contexto e menor privilégio em todas as integrações
Detecção e Resposta: SIEM com correlação entre fornecedores e clientes, threat intelligence compartilhado e playbooks testados
Gestão de patches: aplicação imediata de correções críticas, inventário atualizado de ativos e automação do ciclo de updates.
Implementar essa transformação em 4 meses, atendendo simultaneamente BC e seguradoras, excede a capacidade da maioria das organizações. Não é questão de comprar ferramentas — é orquestrar implementação integrada de controles complexos, estabelecer governança documentada e criar processos operacionais robustos enquanto mantém operações críticas funcionando.
O momento exige abordagens estruturadas de aceleração de resiliência: programas que combinam diagnóstico rápido de gaps, implementação ágil de controles prioritários, operação gerenciada imediata e preparação simultânea para auditoria e contratação de seguros. A expertise de quem já navegou cenários similares — entendendo tanto os requisitos técnicos quanto as expectativas de reguladores e seguradoras — reduz meses de tentativa e erro para semanas de execução focada.
Tentar construir isso internamente do zero pode levar mais de um ano. PSTIs e instituições financeiras não têm esse tempo.
O Banco Central estabeleceu tolerância zero. Instituições sem maturidade comprovada já enfrentam restrições operacionais — suspensões e limites de R$ 15 mil. Com apenas 9 PSTIs conectando mais de 900 participantes do Pix, onde um fornecedor comprometido derruba dezenas de instituições, e com crime organizado operando estruturas sofisticadas de monetização, a escolha de como acelerar a resiliência deixou de ser decisão técnica para se tornar questão de sobrevivência do negócio.
A janela é de 4 meses. A pergunta para CIOs e CISOs não é mais “se” investir em segurança robusta, mas “como” realizar essa transformação de forma ágil e efetiva antes que seja tarde demais — tanto para o regulador quanto para as seguradoras.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
