Um ataque cibernético atingiu a provedora brasileira de tecnologia Sinqia e chamou atenção pelo volume envolvido e pela rapidez da investigação. A invasão foi detectada em 29 de agosto e, quatro dias depois, a empresa confirmou que cerca de R$ 710 milhões foram desviados — com aproximadamente R$ 350 milhões bloqueados pelo Banco Central. Duas instituições foram afetadas: o HSBC e a fintech Artta. A Polícia Federal passou a apurar o caso.
O que ocorreu
Segundo a Sinqia e sua controladora, a invasão comprometeu servidores que funcionavam como ponte entre instituições financeiras e o Banco Central. O ambiente do Pix mantido pela Sinqia foi isolado e desconectado do BC — a infraestrutura central do Pix não foi atingida e não houve impacto detectado em outros sistemas da provedora.
De forma objetiva, os pontos principais são:
- Data: 29 de agosto (detecção do ataque).
- Montante desviado: cerca de R$ 710 milhões; R$ 350 milhões bloqueados pelo BC.
- Instituições afetadas: HSBC e Artta.
- Investigação: conduzida pela Polícia Federal.
Como as transações aconteceram
O levantamento preliminar indica que transações foram inseridas no ambiente da Sinqia por meio da exploração de credenciais de fornecedores legítimos de TI. Assim que detectada a ação, o acesso a essas credenciais foi encerrado.
“Esforços adicionais de recuperação estão em andamento”, informou a controladora Evertec à SEC.
Posições das instituições
O HSBC afirmou que nenhuma conta de clientes foi afetada e que medidas foram tomadas para bloquear as transações suspeitas. A Artta esclareceu que as contas envolvidas são mantidas junto ao Banco Central e usadas exclusivamente para liquidação interbancária.
Situação atual e próximos passos
A Sinqia já iniciou a reconstrução do ambiente atingido com reforço de segurança e aguarda o aval do Banco Central para reativar os serviços do Pix. A empresa também intensificou procedimentos para recuperar valores e evitar novos acessos não autorizados.
Enquanto isso, a investigação segue com a Polícia Federal e a controladora relatou recuperação parcial dos recursos, com novos esforços em curso.
Contexto regulatório
O episódio surge em um momento de mudanças nas regras do Pix: o Banco Central havia anunciado atualizações para reforçar mecanismos de devolução em casos de fraude — aplicação facultativa prevista para novembro e obrigatória a partir de fevereiro de 2026.
E agora? O caso expõe fragilidades na cadeia de fornecedores e reforça a necessidade de controles mais rígidos. As próximas semanas devem trazer mais detalhes da apuração e decisões sobre a retomada completa das operações.
