Fintech Swap barra tentativa de invasão e reforça alerta sobre riscos no ecossistema de pagamentos
A Swap, fintech brasileira de infraestrutura financeira focada em soluções de Banking as a Service (BaaS) para o mercado B2B, confirmou ter identificado e bloqueado uma tentativa de invasão em seus sistemas. O episódio ocorreu na sexta‑feira, 19 de junho, e, segundo a empresa, foi contido sem perdas financeiras e sem exposição de dados de clientes ou parceiros.
Em comunicado, a Swap informou que suas ferramentas de monitoramento em tempo real foram responsáveis por detectar o comportamento suspeito. “Nossos sistemas de monitoramento contínuo identificaram e neutralizaram rapidamente uma atividade atípica em nosso ambiente de pagamentos”, declarou a fintech. A companhia atua como provedora de contas digitais, cartões e serviços de pagamento para empresas, incluindo Pix, boletos e TED.
Embora a invasão não tenha sido bem-sucedida, o caso acionou mecanismos de alerta nas autoridades reguladoras. O Banco Central comunicou aos participantes do Sistema de Pagamentos Instantâneos (SPI), a infraestrutura que sustenta o Pix, a ocorrência de um “evento cibernético” relacionado à Swap Instituição de Pagamento. O órgão orientou as instituições conectadas à rede a intensificarem a vigilância sobre transações suspeitas e a bloquearem, de forma preventiva, recursos vinculados a operações com indícios de fraude.
De acordo com informações divulgadas, o Banco Central também recomendou que as equipes de segurança das instituições financeiras atuassem de forma integrada, reforçando a monitoração contínua e a troca de sinais de alerta. A Swap, por sua vez, reiterou que “não houve qualquer comprometimento de dados pessoais ou prejuízo financeiro” e afirmou estar “atuando proativamente no caso”, em coordenação com os órgãos competentes.
O incidente se soma a uma sucessão de ataques e tentativas de fraude voltadas a instituições de pagamento e fintechs no Brasil, num cenário que especialistas já classificam como uma espécie de “pandemia de fraude digital”. O aumento da digitalização dos serviços financeiros, especialmente após a expansão do Pix e de modelos BaaS, criou uma superfície de ataque mais ampla e interdependente, tornando vulnerabilidades individuais capazes de gerar impactos sistêmicos.
Nos últimos anos, alguns episódios ganharam destaque por expor fragilidades estruturais no ecossistema financeiro. Em janeiro de 2026, uma falha de governança na gestão e troca de certificados Pix permitiu que criminosos, utilizando credenciais antigas e vazadas de uma base histórica da JD Consultores, realizassem transações indevidas em nome de um cliente que não havia revogado certificados obsoletos. O caso escancarou o risco de certificados antigos, pouco monitorados, seguirem aptos a movimentar valores relevantes.
O caso mais grave, porém, ocorreu em junho de 2025, envolvendo a C&M Software. De acordo com relatório produzido por uma empresa de análise de segurança, quase R$ 1 bilhão foi desviado das contas-reserva no Banco Central pertencentes a seis instituições financeiras. A operação criminosa foi desencadeada após um funcionário da C&M aceitar receber R$ 15 mil em troca de suas credenciais de acesso. Com isso, os invasores conseguiram emitir ordens de transferência em série, sendo a primeira movimentação anômala, de R$ 18 milhões, registrada às 4h17 do dia 30 de junho.
As investigações mostraram que o ataque contra a C&M combinou engenharia social, ação de insider e lacunas de validação nas ordens de liquidação. O episódio evidenciou três pontos críticos na arquitetura de segurança: alta concentração de risco em um único hub de mensageria, ausência de autenticação adicional ou de segundo fator para transações que fugiam ao histórico normal, e segregação insuficiente de credenciais e perfis de acesso. Em outras palavras, um único ponto comprometido abriu caminho para operações de grande porte sem barreiras proporcionais ao risco.
Dados do Banco Central reforçam que esses não são casos isolados. Entre janeiro e maio de 2026, foram registrados 33 incidentes de segurança relacionados ao sistema financeiro, dos quais 25 estavam ligados a fraudes – o maior volume já observado para o período. O ataque à C&M Software, considerado até agora o maior episódio de fraude cibernética da história do Brasil, evidenciou com clareza o grau de vulnerabilidade do modelo Banking as a Service: quando várias instituições dependem de uma mesma plataforma de mensageria e de infraestrutura, o comprometimento de um único prestador pode se transformar em um dano bilionário em poucos minutos.
Nesse contexto, incidentes como a tentativa de invasão à Swap reabrem o debate sobre a maturidade de segurança do ecossistema de pagamentos digitais. Se, por um lado, o bloqueio rápido do ataque mostra que investimentos em monitoramento e resposta podem funcionar, por outro, o simples fato de um atacante tentar explorar essa infraestrutura demonstra que fintechs e provedores BaaS estão no centro do radar de grupos criminosos altamente especializados.
As recomendações de especialistas caminham no sentido de uma defesa mais preventiva e menos reativa. Isso envolve, entre outros pontos, fortalecimento da governança de chaves e certificados, segmentação rígida de acessos, uso massivo de autenticação multifator (principalmente para operações fora do padrão), e criação de processos robustos para desligamento, rotação e revogação de credenciais. Também é fundamental que as instituições adotem capacidades avançadas de detecção e resposta, como análise comportamental de usuários e sistemas de correlação de eventos em tempo real.
Outro pilar citado com frequência é a gestão de risco na cadeia de suprimentos tecnológicos. No modelo BaaS, bancos, fintechs, processadoras e plataformas de mensageria formam uma rede interdependente. Um erro de um fornecedor – seja por falha técnica, seja por fragilidade em políticas internas – pode ser explorado por criminosos e se propagar rapidamente. Por isso, exigências contratuais de segurança, auditorias periódicas, certificações e testes de intrusão independentes ganham peso estratégico.
Nesse sentido, certificações de segurança da informação, como a ISO 27001, e selos específicos do setor de meios de pagamento, como PCI, têm sido usados pelo mercado como sinal de compromisso com boas práticas. Elas não eliminam o risco, mas estabelecem um nível mínimo de processos, controles e governança que tende a dificultar a ação de atacantes. Para os clientes corporativos, observar esse tipo de credencial tornou‑se parte importante da due diligence na escolha de parceiros de infraestrutura financeira.
A Swap se posiciona justamente como uma infraestrutura de pagamentos orientada a empresas, com foco exclusivo em negócios B2B. A fintech destaca possuir certificações como PCI e reconhecimento de ambiente de trabalho, e lista entre seus clientes empresas como Swile, Up e SalaryFits. Segundo a companhia, sua arquitetura foi desenhada para operar com monitoramento contínuo e camadas de proteção voltadas tanto à integridade das operações quanto à confidencialidade dos dados de seus parceiros.
Para além da tecnologia, especialistas ressaltam que a dimensão humana continua sendo um dos pontos mais sensíveis. Casos como o da C&M mostram que a combinação de pressão financeira, falta de cultura de segurança e controles internos frágeis pode levar colaboradores a serem cooptados por fraudadores. Programas consistentes de conscientização, trilhas de treinamento recorrentes, segregação de funções e políticas claras de consequência são vitais para reduzir a chance de insiders mal-intencionados ou negligentes se transformarem em vetor de ataque.
Outra lição recorrente é a necessidade de planos de resposta a incidentes bem estruturados. Identificar, conter, erradicar e comunicar um incidente em janelas de tempo cada vez menores tornou‑se obrigação para quem opera infraestrutura crítica. Isso inclui cenários de teste, simulações constantes (como exercícios de tabletop) e alinhamento prévio com áreas de negócio, jurídica, comunicação e reguladores. No caso da Swap, a detecção e neutralização rápidas, somadas à comunicação com o Banco Central, ilustram a importância dessa prontidão.
A “pandemia de fraude digital” também tem impulsionado o uso de inteligência de ameaças. Compartilhamento de indicadores de comprometimento, perfis de grupos criminosos, táticas e ferramentas utilizadas em ataques anteriores ajuda instituições a se antecipar a novos movimentos. Fintechs e bancos que cruzam informações internas com dados de outras organizações e de empresas de ciberinteligência conseguem montar defesas mais ajustadas à realidade do crime organizado financeiro, que atua de forma coordenada e evolutiva.
Por fim, para clientes corporativos que dependem de provedores BaaS, o cenário recente reforça alguns cuidados mínimos: avaliar a robustez de segurança do parceiro, entender onde ficam armazenados e processados os dados, checar se há planos de continuidade de negócios e recuperação de desastres, e exigir transparência em incidentes relevantes. Em um ambiente de riscos crescentes, a relação entre instituições financeiras e provedores de infraestrutura passa a ser menos transacional e mais estratégica, baseada em confiança, visibilidade e capacidade comprovada de resposta.
O episódio da Swap, portanto, funciona como um alerta duplo. De um lado, demonstra que a combinação de monitoramento constante e processos de segurança maduros é capaz de impedir que uma tentativa de invasão se transforme em uma nova grande fraude. De outro, reforça que a pressão sobre o ecossistema de pagamentos segue aumentando, e que o único caminho para reduzir o impacto dessa onda de ataques é a elevação contínua do nível de segurança, governança e cooperação entre todos os atores da cadeia financeira digital.