--- title: "Alerta Vermelho no Pix: Hackers invadem Sinqia e desvio pode chegar a R$ 1 bilhão" author: "Gustavo Ramos O. Klein" date: "2025-08-31 13:17:00-03" category: "Tecnologia & Desenvolvimento" url: "http://desbugados.scale.press/portal/desbugados/post/2025/08/31/alerta-vermelho-no-pix-hackers-invadem-sinqia-e-desvio-pode-chegar-a-r-1-bilhao/md" --- # Ataque à Sinqia: O Rombo no Ecossistema Financeiro e o Silêncio Regulatório O sistema financeiro brasileiro está sob alerta máximo após a detecção, na última sexta-feira, 29 de agosto, de um ciberataque massivo contra a **Sinqia**, uma das principais provedoras de tecnologia e 'banking as a service' (BaaS) do país. Criminosos exploraram uma vulnerabilidade nos sistemas da empresa para realizar transferências via Pix que, segundo fontes do portal NeoFeed, podem totalizar um prejuízo de até R$ 1 bilhão. O ataque, que já confirmou desvios de contas do HSBC e da fintech Artta, expõe a fragilidade de um modelo de negócios baseado na interoperabilidade e acende um debate sobre a transparência em incidentes de segurança. ## O Hub Comprometido: Como Funciona um Ataque à Cadeia de Suprimentos Para entender a gravidade do ocorrido, é preciso enxergar a Sinqia não como uma ilha, mas como um grande hub diplomático no ecossistema financeiro. Ela fornece a infraestrutura de 'core' bancário e as APIs que permitem que dezenas de instituições financeiras conversem entre si e com o Banco Central. Em vez de tentar arrombar a porta de cada banco — um esforço caro e complexo —, os hackers miraram no diplomata. Eles atacaram a cadeia de suprimentos. Essa tática, segundo o NeoFeed, é mais eficiente e lucrativa. Ao comprometer um único provedor como a Sinqia, os cibercriminosos obtêm uma espécie de chave-mestra que abre portas para múltiplos cofres. Conforme uma fonte que acompanha o caso declarou ao portal, “se você compromete o ambiente da Sinqia, acaba tendo muito mais acesso e possibilidade de fazer mais estragos”. Em seu comunicado oficial, a Sinqia confirmou ter detectado “atividade suspeita no ambiente Pix” e que isolou o sistema, desconectando-o proativamente do Banco Central para conter a sangria enquanto inicia uma investigação forense. ## A Batalha dos Algarismos: O Tamanho Real do Prejuízo A dimensão exata do ataque ainda é um campo de batalha de informações. Inicialmente, o NeoFeed reportou um desvio de R$ 400 milhões de contas do HSBC. Pouco depois, o número foi atualizado para **R$ 420 milhões**, divididos entre o HSBC e a fintech Artta, dos quais cerca de R$ 350 milhões já teriam sido bloqueados. O HSBC, em nota, afirmou que nenhuma conta de cliente foi impactada, pois a falha ocorreu exclusivamente no sistema do provedor. Contudo, fontes de mercado ouvidas pelo NeoFeed pintam um cenário bem mais sombrio. A estimativa é que o valor total desviado possa chegar a R$ 800 milhões ou até mesmo bater a marca de **R$ 1 bilhão**. A lógica é simples: por que os criminosos se limitariam a apenas duas instituições quando tinham acesso a um portfólio de conexões muito maior? “Eu diria que pelo menos 20 instituições foram afetadas”, afirmou uma fonte, sugerindo que o volume adicional está fragmentado em operações Pix de menor valor para financeiras de menor porte. ## Um Roteiro Repetido com um Final Diferente Este incidente ocorre apenas dois meses após um ataque similar à C&M, que resultou em perdas estimadas em mais de R$ 1 bilhão e é considerado o maior do tipo no Brasil. O modus operandi, focado na cadeia de suprimentos, é praticamente o mesmo. No entanto, há uma diferença fundamental na rota de fuga do dinheiro. No caso da C&M, os recursos foram rapidamente convertidos em criptoativos. Agora, segundo Alberto Leite, presidente do Grupo FS em declaração ao NeoFeed, os valores foram direcionados para empresas brasileiras “moribundas”, quase inativas, usadas como fachada para a operação. Leite também levanta a hipótese de que o ataque à Sinqia foi uma combinação de fatores: um possível *insider* (alguém com acesso interno), engenharia social, falhas na cadeia de fornecedores e o uso de plataformas desatualizadas. É o coquetel perfeito para o desastre em um ambiente onde a segurança de um depende da segurança de todos os seus parceiros de integração. ## O Silêncio que Custa Caro: A Brecha na Legislação Talvez o ponto mais preocupante levantado pelo incidente seja a falta de transparência compulsória. Alberto Leite destacou ao NeoFeed uma falha crítica na legislação brasileira: “As empresas não são obrigadas a relatar a profundidade, a dimensão, o impacto financeiro e o número de clientes afetados”. Esse vácuo regulatório cria um ambiente onde a real dimensão do problema pode ser subestimada publicamente, dificultando uma resposta coordenada do setor e deixando clientes e investidores no escuro. O Banco Central, procurado pelo portal, preferiu não se manifestar sobre o caso. O ataque à Sinqia é um duro lembrete de que, na era do 'banking as a service' e das finanças conectadas, a segurança cibernética não é mais um problema individual de cada instituição, mas um desafio coletivo de todo o ecossistema. A confiança que sustenta a interoperabilidade foi abalada, e a recuperação dependerá não apenas de remendos técnicos, mas de uma nova diplomacia baseada na transparência radical e na colaboração para fortalecer cada elo da corrente.