A onda de ataques hackers neste ano, principalmente entre julho e agosto, desviou cerca de R$ 1,5 bilhão de instituições financeiras e de pagamento. Ao todo, o Banco Central (BC) identificou oito incidentes em 2025, com a concentração nesses dois meses do ano. As informações foram reveladas por Rogério Lucca, secretário-executivo do BC. Ele participou de audiência pública na Comissão de Constituição e Justiça (CCJ) do Senado na terça-feira (2/12).
O porta-voz da autarquia fez questão de ressaltar que “em nenhum desses eventos os sistemas operados pelo Banco Central foram invadidos ou foram fraudados”. Além disso, ele enfatizou que “nenhum cliente bancário foi prejudicado nesses ataques”.
Os números fazem parte de uma escalada preocupante. De acordo com o secretário-executivo, até 2023 o BC recebia em média 20 reportes de incidentes cibernéticos por ano de instituições autorizadas. “Esse número praticamente triplicou nos últimos dois anos”, comentou ele.
Segundo Lucca, nos últimos meses, a autoridade monetária realizou 20 inspeções extraordinárias em instituições autorizadas. Também suspendeu cautelarmente sete instituições do Pix e excluiu definitivamente 33 participantes do sistema de pagamentos instantâneos. “A gente fez duas suspensões cautelares em prestadores de serviços de tecnologia de informação”, citou.
Leia também
O secretário-executivo destacou que o crime organizado tem identificado fragilidades no sistema financeiro digitalizado. “Se há 10, 15 anos atrás a gente tinha agências bancárias e caixas de ATM sendo explodidas, hoje em dia você tem invasões em sistemas digitalizados de instituições financeiras”, comparou.
Reforço da segurança
Em reação aos desafios de segurança, que se acentuaram em 2025, o BC vem publicando uma série de regras. Entre elas estão, por exemplo, o aprimoramento do Mecanismo Especial de Devolução do Pix, o MED, com a criação da nova versão, chamada MED 2.0. A funcionalidade está valendo de forma facultativa desde novembro e será obrigatória para as instituições participantes do arranjo Pix em fevereiro de 2026.
Entre outras medidas, citou Lucca, o regulador também proibiu a entrada no mercado de novas Instituições de Pagamento (IPs) sem prévia autorização e o aumento das penalidades para instituições que não adotam procedimentos adequados de segurança.
O BC também passou a exigir o encerramento de contas sem identificação clara do cliente final – as chamadas “contas bolsão” – e editou a primeira regulamentação para os Prestadores de Serviços de Ativos Virtuais (PSAVs), mencionou Lucca.
