Meio de pagamento mais usado do país já movimentou mais de R$28 trilhões em 2025, mas viu as perdas com fraudes digitais chegarem a R$4,9 bilhões no mesmo ano.

Cinco anos após sua criação, o Pix se tornou a espinha dorsal do sistema financeiro brasileiro. Segundo o Banco Central, o sistema movimentou mais de R$28 trilhões em 2025, consolidando o país entre os líderes globais em pagamentos instantâneos.

Estudos da FGV Cemif apontam que o brasileiro já realiza, em média, quase 40 transferências via Pix por mês, um reflexo da adoção massiva da ferramenta. Mas a mesma liquidez que impulsionou sua expansão transformou o Pix no principal alvo do crime digital, expondo fragilidades nos processos e na cadeia de segurança que sustenta o ecossistema.

De acordo com informações do Banco Central obtidas via Lei de Acesso à Informação, as perdas relacionadas a golpes envolvendo o sistema somaram R$4,94 bilhões em 2024, com uma média de 390 mil notificações mensais feitas pelas instituições participantes. O sinal vermelho definitivo acendeu em 2025 com o ataque à C&M Software, um incidente sistêmico que resultou no desvio estimado de ao menos R$800 milhões.

O ataque à C&M Software: o caso que revelou o elo mais frágil do sistema

Em 2025, um ataque à C&M Software, empresa que integra instituições financeiras à infraestrutura do BC, provocou indisponibilidade temporária do Pix em diversos bancos e se tornou o incidente mais impactante já registrado em um fornecedor crítico do ecossistema. O Banco Central confirmou que não houve comprometimento dos sistemas do próprio Pix, e que o problema envolveu uso indevido de credenciais legítimas, uma falha humana e processual, não tecnológica. Para Gabriel Paiva, CEO da Dfense, o episódio mostra que a fragilidade não está no coração do sistema.

“O Pix é seguro enquanto tecnologia. O que falha são processos, pessoas e fornecedores conectados ao sistema financeiro. No caso da C&M, o ataque começou pelo ponto mais vulnerável: o acesso humano”, declarou o CEO da Dfense.

Segundo Paiva, o próximo ciclo será ainda mais sofisticado, impulsionado pela inteligência artificial generativa: “Estamos entrando na fase da engenharia social 3.0. Em vez de mensagens genéricas, veremos golpes hiperpersonalizados, criados com base em dados públicos, redes sociais e histórico profissional.”

Medida de mitigação de risco pelo governo

Este ano, o Banco Central reforçou o Mecanismo Especial de Devolução (MED), a ferramenta de bloqueio de valores suspeitos. O aprimoramento amplia o rastreamento em cadeia de contas e aumenta o bloqueio preventivo. De acordo com o BC, desde sua criação, o MED já permitiu a devolução de mais de R$1,5 bilhão às vítimas.

Para Paiva, é um avanço importante, mas ainda insuficiente: “O MED 2.0 torna a recuperação menos difícil, mas não existe solução perfeita. O fraudador ainda pode sacar rápido, espalhar o dinheiro em várias contas ou converter em cripto. O foco tem que ser reduzir o impacto, não acreditar que o MED vai ‘zerar’ a fraude.”

Veja: 4 pilares para as empresas e instituições se blindarem

A partir do histórico de incidentes, a Dfense elenca quatro frentes que empresas e instituições financeiras precisam revisar imediatamente para garantir a resiliência do sistema:

1. Auditoria real de fornecedores: é imperativo ir além de checklists de conformidade. Exigir evidências auditáveis de segurança de todos os fornecedores que têm qualquer conexão com o ecossistema de pagamentos é fundamental.
2. Treinamento contínuo contra engenharia social: o ataque não começa no código, mas no telefone, WhatsApp ou e-mail. É vital que as equipes sejam treinadas contra as táticas de aliciamento e manipulação que visam acesso privilegiado.
3. Reforço de identidade digital: fortalecer os controles de autenticação com biometria, análise de comportamento (machine learning) e confirmação em múltiplos dispositivos para transações de maior valor.
4. Planos de resposta a incidentes: é preciso saber exatamente o que fazer quando o golpe já aconteceu, com planos claros sobre quando interromper operações e como acionar o rastreamento, para reduzir o prejuízo.

Confira: 5 dicas para os usuários se prevenirem 

O usuário também é uma linha de defesa crítica. Diante disso, como prevenção a Dfense recomenda as seguintes práticas:

• Jamais fazer Pix por “urgência” sem confirmar a solicitação por outro canal (telefone fixo, ligação direta).
• Conferir o nome e a instituição antes de confirmar qualquer transferência.
• Desconfiar de cobranças inesperadas ou enviadas por WhatsApp.
• Configurar limites diários e noturnos reduzidos para o Pix, de acordo com o padrão de uso.
• Acionar o MED (Mecanismo Especial de Devolução) imediatamente em caso de golpe.

“O Pix não é mais só um meio de pagamento. Virou infraestrutura crítica. Ele é seguro. Mas a segurança do Pix não depende apenas do Banco Central. Depende das empresas, dos usuários e dos fornecedores que compõem essa cadeia,” conclui Paiva.

Redação i9Brasil

Leia também

• Dia Mundial do Meio Ambiente na era da Inteligência Artificial (IA)
• Sem passaporte na América do Sul: use a nova CIN!
• Prefeitura de Manaus está com inscrições abertas para capacitação empreendedora até 7 de junho
• Novas tecnologias camuflam vapes e são desafio
• Núcleo acadêmico amplia acesso à saúde e fortalece transformação digital em áreas remotas da Amazônia