Latest:
Ataque hacker no Pix HSBC: imagem ilustrativa de operação no Brasil
NoticiasTecnologia

Ataque hacker no Pix do HSBC desvia R$ 380 mi

Diogo Fernando , , 8 min Leitura
PUBLICIDADE

Sinqia confirmou Ataque hacker no Pix no Brasil em 29/8, desviando R$ 420 milhões de HSBC e Artta; R$ 350 milhões foram recuperados. A invasão, ocorrida na madrugada de sexta-feira (29), afetou a infraestrutura do sistema de pagamentos instantâneos operada pela Sinqia, fornecedora de software financeiro adquirida pela porto-riquenha Evertec em 2024.

Do total subtraído, R$ 380 milhões atingiram o HSBC e R$ 40 milhões, a sociedade de crédito Artta. Os cibercriminosos planejavam movimentar até R$ 1 bilhão, segundo apurações, mas a contenção reduziu o impacto. Não há indícios de vazamento de dados pessoais, e o ataque ficou restrito ao território nacional, segundo a empresa.

O que se sabe até agora

O vetor do ataque mirou o ambiente do Pix mantido pela Sinqia para clientes institucionais. Ao detectar movimentações suspeitas, a companhia isolou o ambiente do Pix dos demais sistemas e o desconectou do Banco Central para viabilizar uma análise forense.

PUBLICIDADE

A operação de contenção permitiu bloquear transferências e recuperar R$ 350 milhões. O HSBC informou que as transações irregulares ocorreram no sistema do provedor, e não nas contas de clientes, reforçando que nenhum saldo de correntistas foi impactado.

Como o ataque aconteceu

De acordo com relatos de mercado e notas oficiais, os cibercriminosos articularam ordens de transferência via Pix explorando a plataforma do provedor. O Banco Central havia alertado bancos e instituições, duas semanas antes, sobre movimentações incomuns com criptoativos — um possível indício de preparação logística e financeira para lavagem e dispersão de valores. A ofensiva, executada de madrugada, buscou escala rápida: fontes estimam que o alvo poderia chegar a R$ 1 bilhão sem resposta ágil.

A Sinqia, por sua vez, afirma que o ataque não transbordou para outros módulos de sua stack e que iniciou imediatamente a reconstrução dos componentes afetados. Antes do restabelecimento, os sistemas passarão por revisão e aprovação do Banco Central, um requisito que visa reforçar a governança e a resiliência do ecossistema de pagamentos instantâneos.

“Isolamos o ambiente Pix de todos os outros sistemas e o desconectamos do Banco Central para conduzir a análise interna.”

Sinqia, em nota

Impacto no HSBC e proteção aos clientes

O HSBC confirmou a tentativa de desvio, principalmente em operações processadas pelo provedor. O banco informa que bloqueou transações, acionou planos de resposta a incidentes e trabalha com o provedor e autoridades para recuperação integral dos valores e responsabilização dos envolvidos. Segundo o comunicado, “nenhuma conta dos clientes ou fundos foram impactados”, o que indica que as barreiras de segregação entre camadas de processamento e custódia funcionaram como projetado.

Para usuários finais, não há ação exigida neste momento além de acompanhar comunicações oficiais. Caso identifique transações desconhecidas, o cliente deve registrar contestação no aplicativo, abrir boletim de ocorrência e contatar a ouvidoria do banco. O Mecanismo Especial de Devolução (MED) do Pix continua disponível para contestação de golpes ou falhas operacionais quando aplicável.

  • Não há evidência de impacto em saldos de correntistas;
  • Monitoramento proativo de transações permanece recomendado;
  • MED do Pix pode ser acionado em casos elegíveis.

Resposta da Sinqia e governança da Evertec

Desde 1996 no mercado, a Sinqia foi adquirida pela Evertec em 2024, movimento que ampliou a capacidade de investimento em segurança e compliance. Após o incidente, a companhia priorizou: 1) isolamento do ambiente Pix, 2) investigação interna e correção, 3) reconstrução de componentes e 4) submissão ao Banco Central para validação. A empresa afirma que não houve comprometimento de dados pessoais e que a ocorrência foi circunscrita ao Brasil.

“Os sistemas afetados estão sendo reconstruídos e só retornarão após revisão e aprovação do Banco Central.”

Comunicado da Sinqia

Contexto: alertas do BC e histórico recente

O Banco Central vem reforçando medidas de prevenção à fraude no Pix desde 2023, como limites dinâmicos por faixa horária, monitoramento antifraude e o MED. O alerta recente sobre criptoativos sinaliza uma evolução tática de grupos que combinam ataques a provedores com trilhas de dispersão em blockchain. Em julho, uma ofensiva semelhante retirou ao menos R$ 800 milhões da C&M, evidenciando que agentes maliciosos têm buscado pontos de concentração operacional para maximizar impacto.

InstituiçãoValor desviadoStatus
HSBCR$ 380 milhõesRecuperação em andamento; clientes não afetados
ArttaR$ 40 milhõesRecuperação em andamento
TotalR$ 420 milhõesR$ 350 milhões já recuperados
  • Alerta prévio do BC sobre cripto reforçou vigilância;
  • Ataques recentes miram provedores e intermediários;
  • Risco sistêmico mitigado por mecanismos de contenção.

O que muda para bancos, fintechs e usuários

Para instituições, o caso reforça a necessidade de segmentação rígida de ambientes, validações out-of-band para ordens de alto valor, testes de penetração recorrentes e auditorias de terceiros. A homologação do Banco Central antes do retorno dos serviços afetados é um gatilho de confiança importante.

Para usuários, boas práticas permanecem válidas: ativar limites por horário, usar senhas fortes e autenticação em duas etapas, e desconfiar de contatos com urgência atípica. Embora o episódio envolva infraestrutura de provedor, golpes de engenharia social continuam sendo o vetor mais comum no varejo.

  • Segmentação e validação adicional para transações críticas;
  • Pentest e auditorias independentes periódicas;
  • Educação contínua do usuário e canais oficiais.

Fontes e validação

As informações deste artigo se baseiam em comunicados oficiais de Sinqia e HSBC e em apuração publicada pela UOL (coluna de Mariana Barbosa, 30/08/2025), além de comunicados prévios do Banco Central sobre prevenção a fraudes no Pix. Este é um caso em evolução; valores e status de recuperação podem ser atualizados pelas instituições. Links de referência: UOL.

  1. Clientes do HSBC perderam dinheiro com o ataque?

    Resposta direta: não há evidências de perda em contas de clientes. Expansão: o HSBC afirma que as transações irregulares ocorreram no provedor e foram bloqueadas. Saldos dos correntistas permanecem preservados e sob monitoramento. Validação: comunicado oficial do banco e confirmação de que o ataque mirou o ambiente Pix do fornecedor.

  2. Quanto foi desviado e quanto já foi recuperado?

    Resposta direta: foram desviados R$ 420 milhões; R$ 350 milhões já voltaram. Expansão: R$ 380 milhões afetaram o HSBC e R$ 40 milhões, a Artta. A recuperação decorre de bloqueios e reversões dentro da janela operacional. Validação: dados informados pelas instituições e apuração publicada pela UOL.

  3. Meus dados pessoais foram expostos no incidente?

    Resposta direta: não há indício de vazamento de dados pessoais. Expansão: segundo a Sinqia, o ataque ficou restrito ao Brasil e ao ambiente Pix, sem transbordo para outros sistemas. Validação: nota oficial do provedor indica isolamento e reconstrução dos módulos afetados antes do retorno.

  4. O Pix continua seguro após esse ataque?

    Resposta direta: o Pix mantém camadas de proteção e monitoramento. Expansão: limites por horário, MED e validações antifraude seguem ativos; ataques a provedores reforçam a necessidade de testes, auditorias e respostas rápidas. Validação: diretrizes do Banco Central e precedentes de contenção neste caso específico.

  5. O que devo fazer se notar uma transferência estranha?

    Resposta direta: conteste no app e acione o MED do Pix. Expansão: registre boletim de ocorrência, contate a central e a ouvidoria do banco e mantenha registros. Validação: procedimentos alinhados às regras do Pix e às práticas de resposta a incidentes no sistema financeiro.

Considerações finais sobre Ataque hacker no Pix

O ataque ao ambiente Pix da Sinqia, com foco em HSBC e Artta, expõe a relevância de controles de provedor no ecossistema de pagamentos. A resposta rápida conteve o prejuízo potencial estimado em até R$ 1 bilhão e permitiu recuperar R$ 350 milhões. À medida que os sistemas forem reconstruídos e auditados pelo Banco Central, a prioridade permanece em endurecer perímetros, validar fluxos críticos e reforçar a educação do usuário. Este é um caso dinâmico: atualizaremos a cobertura conforme novas informações oficiais surgirem.

Diogo Fernando

Apaixonado por tecnologia e cultura pop, programo para resolver problemas e transformar vidas. Empreendedor e geek, busco novas ideias e desafios. Acredito na tecnologia como superpoder do século XXI.

Você pode gostar também

logo da imagem do tiktok

TikTok Malware: Infostealer via ClickFix

Diogo Fernando
Logotipo do Google em fundo abstrato representando a atualização do Google Keep web com formatação de texto.

Google Keep Web Ganha Formatação de Texto: Negrito e Mais

Diogo Fernando
Samsung confirma lançamento de celular tri-dobrável ainda em 2025

Samsung confirma celular tri-fold ainda em 2025

Diogo Fernando
0 0 votos
Classificação do artigo
Inscrever-se
Notificar de
guest

0 Comentários
mais antigos
mais recentes Mais votado
Feedbacks embutidos
Ver todos os comentários
0
Adoraria saber sua opinião, comente.x