Article
Updated:
6 Mins Read

Pagamentos em tempo real, risco em tempo real: lições do incidente com o PIX no Brasil

No final de junho de 2025, o setor financeiro brasileiro foi abalado por um dos maiores ataques cibernéticos sistêmicos de sua história. A C&M Software é uma provedora-chave da infraestrutura que conecta bancos e fintechs à plataforma de pagamentos em tempo real do Brasil, o PIX. Um ataque fraudulento liderado de dentro dessa empresa desviou centenas de milhões de reais de contas de reserva do Banco Central do Brasil (BACEN).

Um analista de TI conivente com acesso privilegiado permitiu que invasores abusassem de credenciais válidas para falsificar e assinar digitalmente transações PIX de saída fraudulentas. Os fundos saíram rapidamente de pelo menos seis instituições. Em uma única noite, 100 milhões foram desviados de apenas uma instituição, com estimativas de prejuízo total chegando a R$ 1 bilhão. A maior parte do dinheiro foi lavada por meio de corretoras de criptomoedas e plataformas de pagamentos usando Bitcoin e dólares americanos, tornando a recuperação extremamente difícil.

O que exatamente deu errado?

O incidente deixou uma coisa clara: nos ecossistemas de pagamentos instantâneos, transações que parecem válidas à primeira vista podem esconder comprometimento real. A manchete, porém, não é a lição. A lição é que o acesso interno, o monitoramento de comportamento insuficiente e fluxos opacos de terceiros sobrecarregam as defesas antes que os alarmes soem.

Em tempo real, a intenção se esconde atrás da ausência de erros de um formato. As credenciais autenticam um usuário, mas não explicam como uma transferência ocorre: se segue uma sequência típica ou se o contexto do dispositivo e da rede faz sentido. Atividades maliciosas se misturam ao tráfego de rotina quando esse contexto está ausente no momento da decisão.

A violação expôs uma combinação crítica de vulnerabilidades:

  • A segmentação insuficiente permitiu que um funcionário de TI manipulasse a lógica de transação e obtivesse vários certificados de clientes.
  • Ordens fraudulentas, criptograficamente válidas e em conformidade com os protocolos do PIX, foram liquidadas automaticamente pelo Banco Central porque faltava monitoramento de comportamento e análise de contexto no canal de origem.
  • Os fluxos de terceiros e as integrações de API não contavam com detecção de anomalias em tempo real. Transações suspeitas passaram despercebidas — nem a C&M nem as fintech parceiras conseguiram distinguir sessões maliciosas das atividades legítimas de API de alta frequência.
  • Os fundos foram rapidamente transferidos para contas de laranjas e corretoras de criptomoedas. As instituições de pagamentos envolvidas tinham controles de onboarding frágeis e monitoramento de transações insuficiente.

Em 48 horas, o Banco Central suspendeu seis fintechs por monitoramento insuficiente e falta de controles adequados contra fraude.

A lacuna de visibilidade de terceiros

Este incidente expôs como a confiança desmorona sem visibilidade em tempo real do comportamento, integridade do dispositivo e contexto das transações em cada etapa da cadeia de pagamentos. Quando sinais de contexto e origem param na primeira camada de integração, a fraude flui sem obstáculos através de verificações de políticas estáticas, mesmo que credenciais e assinaturas digitais pareçam válidas. A verdadeira resiliência exige que dados de risco e contexto comportamental sejam preservados e analisados entre parceiros e plataformas em toda a cadeia.

Isso não é uma crítica aos parceiros. É um argumento em favor da preservação do contexto de risco em toda a cadeia. Quando os sinais de origem e o risco de contraparte não acompanham a transação, as equipes não conseguem distinguir um pagamento legítimo de uma subtração coordenada de fundos.

Como a SEON teria feito a diferença

Esse é exatamente o cenário para o qual a SEON foi projetada: fraudes sofisticadas que usam credenciais válidas, integrações de API e sessões privilegiadas — tudo parecendo legítimo para controles tradicionais.

A SEON utiliza centenas de pontos de dados — inteligência de dispositivos, biometria comportamental, IP, e-mail, análise de pegada digital e muito mais — em cada evento de onboarding, login e transação. Os recursos mais relevantes para esse cenário incluem:

  • Enriquecimento de dados em tempo real e pontuação de risco: a SEON analisa automaticamente mais de 900 sinais, incluindo contexto de dispositivo, rede, comportamental e digital, para gerar pontuações de risco a cada interação. Triagem de transações e verificação de usuários ocorrem em menos de um segundo, permitindo a prevenção de fraude em tempo real em qualquer escala.
  • Análise comportamental e detecção de pessoal interno: a SEON monitora comportamentos anormais, como o uso repentino de privilégios, picos no volume de transações, padrões de API fora dos limites normais, e identifica rapidamente até mesmo as fraudes cometidas por pessoal interno de confiança.
  • Integração modular anterior à API: a plataforma da SEON se posiciona antes das APIs de pagamentos e onboarding, pontuando e contextualizando instantaneamente todos os eventos, incluindo os de integrações de parceiros e terceiros, sem comprometer o tráfego legítimo.
  • Preparação para PLD e conformidade: a SEON combina prevenção de fraude e PLD, rastreando fundos, verificando listas de observação e auxiliando na conformidade regulatória, o que é crucial, já que os órgãos reguladores brasileiros intensificaram a fiscalização após esse incidente.
  • Inteligência de rede: a SEON vincula transações, dispositivos e usuários para revelar conexões compartilhadas, identificar laranjas, identidades sintéticas e ataques orquestrados. Você vê além de verificações estáticas e descobre cadeias de fraude antes que o dinheiro saia do sistema financeiro.

Implantado como uma camada antecessora da API, na frente dos pontos finais de pagamentos e integrações, a SEON preserva o contexto de risco ao longo de todo o ciclo de vida do usuário e da transação, sinalizando fraudes no momento em que ocorrem — mesmo quando se originam de dentro ou entre parceiros confiáveis. Essa proteção em camadas, ausente durante a violação da C&M Software, é exatamente o que o ecossistema de pagamentos em evolução do Brasil e as novas exigências regulatórias agora exigem.

Evoluindo da confiança para inteligência verificada

Esse ataque não foi inédito; foi um caso clássico de como a dependência excessiva de credenciais estáticas, autenticação de perímetro e monitoramento superficial permitem que fraudes altamente prejudiciais ocorram sem impedimentos. Os provedores bancários e de pagamentos, especialmente com o BACEN implementando controles mais rígidos, devem adotar avaliação de risco dinâmica e sensível ao contexto em todas as etapas. Com a abordagem da SEON, os serviços financeiros vão além dos modelos de confiança do passado, detectando ameaças sofisticadas em tempo real e prevenindo a próxima violação em todo o ecossistema.

Share
Share
Share

Sumário

You Might Be Interested In

Take Your First Step Toward Transformative Fraud Prevention

“SEON significantly enhanced our fraud prevention efficiency, freeing up time and resources for better policies, procedures, and rules.”

Vladislav Notevskyi Head of KYC of Soft2Bet

  • Automate 95% of fraud checks
  • Reduce fraudulent registrations by 90%
  • Accelerate manual reviews by 90%

Trusted by 5000+ Global Organizations:

Book Time With Our Experts