O Banco do Nordeste (BNB) suspendeu temporariamente as transações via Pix após identificar um incidente de segurança cibernética em sua infraestrutura tecnológica.
O ataque, identificado no final de janeiro de 2026, marca o primeiro grande incidente da instituição desde a criação do sistema e representa o primeiro ataque hacker de magnitude significativa ao Pix neste ano.
A invasão não afetou diretamente os servidores principais do banco, mas explorou uma vulnerabilidade em um prestador de serviços de tecnologia da informação (PSTI) que funciona como intermediário nas operações financeiras.
Os criminosos conseguiram acessar uma conta-bolsão vinculada à empresa terceirizada, instrumento utilizado para centralizar recursos de diversos usuários sem identificação individualizada dos titulares. O valor total desviado ainda está sendo contabilizado pelas equipes técnicas do banco.
Segundo o comunicado oficial enviado à Comissão de Valores Mobiliários (CVM), o BNB não identificou vazamento de dados ou prejuízos diretos às contas de seus mais de 11 milhões de clientes.
A decisão de suspender o Pix teve caráter preventivo, destinada a permitir uma análise detalhada das causas do evento e seus impactos. As equipes técnicas iniciaram trabalho imediato após a detecção, ativando protocolos de segurança e mantendo comunicação com o Banco Central para investigar a extensão do ocorrido.
O Elo Frágil da Cadeia Tecnológica
O episódio no Banco do Nordeste reacende o debate sobre vulnerabilidades em prestadores de serviços terceirizados do setor financeiro.
Desde 2025, ataques a esses intermediários intensificaram-se justamente por representarem um ponto menos robusto da infraestrutura, permitindo que criminosos contornem camadas de proteção mais sofisticadas dos grandes bancos.
Em junho de 2025, a C&M Software, fornecedora crítica autorizada pelo Banco Central, sofreu o maior ciberataque da história do Brasil. A invasão resultou no desvio de mais de R$ 1 bilhão através do Pix, afetando seis instituições financeiras.
O ataque ocorreu mediante credenciais internas obtidas por engenharia social aplicada a um funcionário, que posteriormente executou comandos nos sistemas para habilitar acesso remoto dos criminosos.
Dois meses depois, em agosto de 2025, a empresa Sinqia sofreu nova invasão que desviou aproximadamente R$ 420 milhões das contas de instituições como HSBC e Artta.
Embora a infraestrutura central do Pix tenha permanecido operacional em ambos os casos, esses incidentes demonstraram a urgência de reforços na segurança de toda a cadeia.
Respostas Regulatórias e Endurecimento das Normas
Diante da escalada de incidentes, o Banco Central implementou medidas progressivas para aumentar a segurança do ecossistema. Em resposta aos ataques de 2025, a autoridade monetária publicou a Resolução BCB nº 498, que estabeleceu requisitos mais rigorosos para credenciamento e funcionamento de PSTIs.
As novas exigências incluem comprovação anual de cumprimento de padrões técnicos, manutenção de governança corporativa e gestão de riscos compatíveis com o porte das operações.
A resolução também tornou obrigatória a contratação de seguro de responsabilidade civil e riscos operacionais, com cobertura mínima definida pelo BC, incluindo incidentes de fraude e segurança cibernética.
Anteriormente, o BC havia suspendido diversas instituições de pagamento do sistema Pix e endurecido as exigências gerais de segurança.
Além das medidas técnicas, o regulador também atuou sobre contas-bolsão irregulares. Em novembro de 2025, publicou resolução destinada a fechar essas contas, que vinham sendo utilizadas por organizações criminosas para lavar dinheiro.
O objetivo foi reforçar a identificação de titulares de recursos dentro do sistema, criando barreiras contra o uso de intermediários para ocultar movimentações ilegais.
Contexto de Crescimento de Ataques
Os dados evidenciam uma intensificação significativa de incidentes cibernéticos contra o setor financeiro brasileiro. Conforme relatório do Banco Central sobre estabilidade financeira, foram registrados 127 incidentes relevantes entre 2024 e 2025, com o período de janeiro a outubro de 2026 já superando o total de todo o ano anterior.
O crescimento do Pix como principal meio de pagamento do país ampliou o interesse de grupos criminosos em explorar vulnerabilidades da cadeia.
A estratégia de criminosos evoluiu para operações mais sofisticadas, envolvendo engenharia social e procedimentos complexos de planejamento. A cooptação de funcionários internos emergiu como vetor comum, como evidenciado no caso da C&M Software, em que um técnico foi contactado por diversos criminosos e posteriormente recrutado.
Esses padrões sugerem coordenação de grupos especializados, muitos operando com infraestrutura internacional e utilizando técnicas de mascaramento de origem.
Impacto nos Correntistas e Próximos Passos
Embora o Banco do Nordeste tenha assegurado que clientes não sofreram prejuízos diretos, a suspensão do Pix afetou significativamente os usuários da instituição, impedindo transferências instantâneas por período indeterminado.
A normalização completa dependerá da conclusão das análises técnicas, validação dos sistemas afetados e aprovação do Banco Central para retomada segura das operações.
O banco reafirmou compromisso com transparência e segurança, prometendo manter o mercado informado sobre desdobramentos.
No entanto, o episódio ilustra o desafio contínuo enfrentado pelo setor financeiro: equilibrar a inovação e conveniência dos sistemas de pagamento instantâneo com a proteção robusta contra ameaças cibernéticas cada vez mais sofisticadas.
A lição mais evidente é que a segurança do Pix não depende apenas da infraestrutura central do Banco Central, mas também da capacidade coletiva de toda a cadeia financeira—bancos, fintechs e prestadores de serviços—em manter padrões elevados de proteção.
Investimentos contínuos em cibersegurança, governança rigorosa e conformidade regulatória tornaram-se imperativos para manter a confiança em um sistema que movimenta bilhões diariamente.
