Ataque ao PIX expõe intrusão e falhas graves de governança em certificados digitais
A recente onda de operações ilegais via PIX teve origem em uma combinação perigosa de intrusão a ativos digitais e falhas de governança em certificados de segurança. Documentos internos da JD Consultores, enviados a clientes na noite de ontem e obtidos pela reportagem, detalham como a falta de atualização e de desativação de certificados antigos abriu uma brecha crítica para que terceiros não autorizados realizassem transações em nome de uma instituição financeira.
Segundo o comunicado, o ataque envolveu certificados de conexão (PIC) e de assinatura (PIA) que permaneceram ativos no Banco Central mesmo após a migração da instituição para infraestrutura própria. Essa negligência regulatória e técnica permitiu que os certificados, uma vez obtidos por invasores, fossem usados para autenticar operações PIX como se fossem legítimas.
Embora o nome da instituição não seja citado formalmente, o comunicado registra que, às 13h52 de 26/01/2026, um cliente da JD com infraestrutura própria reportou “atividade suspeita na operação”, acionando o suporte de helpdesk. A data coincide com o aviso público do Banco do Nordeste, que naquele mesmo dia informou ter identificado um incidente de segurança cibernética em sua infraestrutura de transações PIX, o que reforça a associação entre os casos.
Migração de infraestrutura e o erro crítico na gestão de certificados
A JD Consultores esclarece que a instituição em questão não utilizava mais o ambiente de Processamento de Serviços de Tecnologia da Informação (PSTI) da empresa. Conforme o comunicado, esse cliente “originalmente fazia parte do PSTI JD, tendo migrado para sua própria instalação em 16/09/25”.
Nesse processo de migração, uma exigência técnica e regulatória central é justamente a renovação dos certificados PIC e PIA e, principalmente, a desativação dos certificados antigos junto ao Banco Central. A investigação da JD apontou que a instituição não executou esses procedimentos. Como resultado, os certificados anteriores permaneciam válidos no sistema do Banco Central, transformando-se no principal vetor explorado pelo ataque.
Em termos práticos, os invasores conseguiram se aproveitar de um cenário em que existiam múltiplos certificados válidos vinculados à mesma instituição. Bastou ter acesso a um desses certificados antigos, ainda aceitos pelo ecossistema do PIX, para conseguir autenticar operações como se fossem originadas da própria instituição financeira, sem levantar suspeitas imediatas.
Governança cibernética como fator determinante
Especialistas ouvidos e posicionamentos públicos deixam claro que o episódio não é apenas um problema de tecnologia, mas de governança. Wilson Mendes Lauria, CEO da consultoria GRCIBER, reforça esse ponto ao comentar que governança cibernética “não é uma opção, mas uma condição crítica para o sucesso das operações”. Segundo ele, cabe aos responsáveis por governança assegurar supervisão contínua e monitoramento adequado dos processos, especialmente em funções sensíveis como gestão de certificados, chaves criptográficas e acessos.
Quando uma instituição migra sua infraestrutura, mas não revisa e não encerra formalmente credenciais legadas, cria-se um ambiente ideal para ataques. Em sistemas de pagamentos instantâneos como o PIX, onde as transações são rápidas e irreversíveis, qualquer descuido na governança aumenta exponencialmente o impacto potencial de uma intrusão.
Intrusão a ativos digitais e vazamento de certificados
Para esclarecer a origem dos certificados utilizados de forma indevida, a JD abriu uma análise forense. O objetivo era determinar se o vazamento ocorreu dentro da própria consultoria ou na infraestrutura do cliente.
A conclusão do relatório interno aponta que a origem foi uma base histórica do PSTI mantida pela JD. Essa base existia por imposição regulatória: o Manual de Segurança do PIX exige que esses dados históricos sejam armazenados por cinco anos. A manutenção dessa base, embora obrigatória, acabou se transformando em um ponto sensível explorado na dinâmica do ataque.
Uma fonte técnica consultada confirma que o cenário descrito é compatível com uma intrusão aos sistemas para a extração de certificados válidos. A mesma fonte destaca um problema estrutural: o Banco Central ainda não realiza, de forma plena, a verificação de que o certificado apresentado numa transação pertence, de fato, ao solicitante que diz estar utilizando aquele canal, o que aumenta a superfície de ataque em situações de vazamento de credenciais.
Diferença entre PIX e SPB na revogação de certificados
O comunicado da JD também chama atenção para um detalhe operacional que pode ter contribuído para a confusão de instituições: o processo de desativação de certificados é distinto no PIX e no Sistema de Pagamentos Brasileiro (SPB).
No ambiente do SPB, sempre que um certificado é atualizado, o anterior é automaticamente desativado. Isso simplifica a rotina das instituições, pois evita que certificados antigos sigam válidos em paralelo. Já no PIX a lógica é diferente: o sistema permite que múltiplos certificados permaneçam ativos simultaneamente. Para revogar um certificado antigo, é preciso executar uma operação específica via BC Correio, o canal de comunicação com o Banco Central.
Esse procedimento adicional exige disciplina, processos bem documentados e uma rotina clara de governança. A JD ressalta no comunicado que não tem controle sobre a emissão, guarda, vencimento ou desativação dos certificados – essa responsabilidade recai integralmente sobre cada instituição participante do ecossistema.
Medidas cautelares do Banco Central
Após reunião com a JD Consultores, o Banco Central decidiu impor uma medida cautelar dirigida exclusivamente às instituições clientes do PIX via PSTI JD que não haviam renovado, desativado ou migrado corretamente seus certificados PIA para infraestrutura própria.
A medida restringe as transações de débito via PIX a dias úteis bancários, no intervalo entre 06h30 e 18h30. A limitação foi direcionada às instituições e não ao PSTI da JD, que continuou operando normalmente para os demais clientes. Em termos práticos, o Banco Central buscou reduzir a janela de risco, restringindo horários em que ataques poderiam se disseminar com menor chance de detecção e resposta.
O que esse caso revela sobre riscos estruturais do PIX
O incidente evidencia que, embora o PIX seja um sistema robusto em termos de criptografia e disponibilidade, sua segurança depende diretamente da disciplina operacional de todos os participantes. Um único ponto frágil na cadeia – seja um prestador de serviços de tecnologia, seja uma instituição que falha em revogar certificados – pode comprometer a integridade de transações em larga escala.
Também fica claro que requisitos regulatórios, como a manutenção de dados históricos por cinco anos, precisam ser acompanhados de controles adicionais: segmentação de ambientes, criptografia em repouso, monitoramento de acesso a repositórios sensíveis, testes regulares de intrusão e revisões periódicas de privilégios. Sem isso, bases históricas podem se tornar verdadeiros cofres de chaves válidas para ataques.
Lições de governança para bancos e fintechs
O caso oferece lições concretas para bancos, cooperativas, fintechs e demais participantes do ecossistema financeiro:
1. Gestão de ciclo de vida de certificados
É indispensável manter um inventário atualizado de todos os certificados PIC e PIA, com data de emissão, expiração e status de revogação. Ao migrar de ambiente ou prestador de serviço, é obrigatório planejar a troca completa desses certificados e a revogação imediata dos anteriores.
2. Procedimentos formais de desativação
No contexto do PIX, o simples fato de emitir novos certificados não basta. A instituição precisa documentar e executar o processo de desativação via canais oficiais do Banco Central, garantir registros de auditoria e validar, em ambiente de teste e de produção, que os certificados antigos realmente deixaram de funcionar.
3. Segregação entre ambientes de produção e histórico
Bases históricas exigidas por regulação devem ser rigidamente separadas do ambiente operacional. Acesso deve ser altamente restrito, monitorado e, sempre que possível, apoiado por mecanismos de cofres de chaves e criptografia que impeçam o uso direto de certificados em caso de vazamento de arquivos.
4. Treinamento e conscientização de equipes técnicas e de negócio
Governança não é apenas um documento ou um comitê; envolve capacitar times de TI, segurança, operações e compliance para entenderem o impacto de não revogar um certificado ou de manter credenciais antigas ativas. Erros de processo, como o verificado nesse caso, muitas vezes derivam de lacunas de entendimento.
A importância da detecção precoce e da resposta rápida
Outro ponto relevante é o tempo de detecção. A instituição identificou “atividade suspeita” e acionou o suporte da JD, o que indica algum nível de monitoramento transacional ou de comportamento anômalo. Porém, em sistemas instantâneos, minutos fazem diferença enorme na mitigação de perdas.
Instituições que operam PIX precisam investir em:
– mecanismos de detecção de transações fora de padrão (horário incomum, volume atípico, destinatários repetitivos);
– correlação de eventos de segurança com logs de autenticação e uso de certificados;
– playbooks de resposta específicos para incidentes envolvendo PIX, com contatos diretos em reguladores e prestadores críticos.
Quando a organização tem clareza de papéis e responsabilidades – quem desliga o canal, quem fala com o regulador, quem analisa logs, quem interage com o cliente final – o impacto financeiro e reputacional tende a ser significativamente reduzido.
O papel do regulador e lacunas a serem discutidas
A observação feita por fonte técnica de que o Banco Central ainda não verifica plenamente se o certificado apresentado pertence ao “solicitante real” abre espaço para debates sobre aperfeiçoamentos regulatórios e técnicos. Entre os pontos que podem ser avaliados:
– fortalecimento da autenticação mútua entre instituição, prestadores e Banco Central, com amarrações mais rígidas entre certificado e contexto de uso;
– exigência de relatórios periódicos de governança de certificados, incluindo simulações de revogação e testes de falha;
– mecanismos de alerta automático quando forem detectados múltiplos certificados ativos sem renovação recente ou sem justificativa operacional clara.
Embora o regulador já imponha obrigações de segurança e mantenha manuais detalhados, o avanço de ataques mais sofisticados e a crescente digitalização do sistema financeiro indicam a necessidade de evolução contínua das regras e das práticas de supervisão.
Como instituições podem se preparar melhor para o futuro
Para reduzir a probabilidade de novos incidentes semelhantes, instituições financeiras e provedores de tecnologia podem adotar um conjunto de medidas estruturadas:
– Mapear dependências críticas: identificar quem são todos os terceiros envolvidos nas operações de PIX (PSTI, nuvem, gateways, integradores) e revisar contratos à luz de responsabilidades de segurança.
– Implementar auditorias independentes: submeter periodicamente a gestão de certificados, chaves e acessos a auditorias técnicas internas e externas, com foco em descobrir brechas processuais.
– Automatizar o máximo possível da gestão de credenciais: usar plataformas que alertem automaticamente sobre certificados próximos do vencimento, certificados sem uso prolongado ou múltiplos certificados ativos por instituição.
– Integrar governança de TI, segurança e compliance: alinhar requisitos regulatórios com práticas técnicas, garantindo que obrigações de armazenamento de dados não resultem em novas superfícies de ataque sem controles adicionais.
O episódio do ataque ao PIX mostra, de forma contundente, que segurança em meios de pagamento não se limita a criptografia forte e alta disponibilidade. Ela exige governança madura, processos bem desenhados e disciplina operacional constante. Onde esses elementos falham, mesmo os sistemas mais avançados podem ser explorados com grande impacto financeiro e de confiança pública.