A Sinqia, empresa brasileira de tecnologia para o setor financeiro controlada pela Evertec, confirmou ter sido alvo de um ataque hacker que afetou o ambiente do Pix e resultou no desvio de valores bilionários em transações não autorizadas. O caso, revelado na sexta-feira (29/08), impactou diretamente instituições como o HSBC e a Artta, mas não comprometeu contas de clientes ou a infraestrutura central do sistema de pagamentos instantâneos do Banco Central (BC).
Informações preliminares apontam que o valor total estimado para o desvio era de R$ 420 milhões, sendo R$ 380 milhões do HSBC e R$ 40 milhões da Artta. A ação, entretanto, acabou frustrada em parte: o Banco Central conseguiu bloquear R$ 350 milhões ainda durante a ofensiva, reduzindo o impacto final.
Como ocorreu o ataque à Sinqia
De acordo com a Sinqia, a invasão se limitou exclusivamente ao ambiente Pix operado pela companhia no Brasil. Não há, até o momento, indícios de que dados pessoais tenham sido vazados ou de movimentações irregulares em outros sistemas da empresa.
O Banco Central confirmou que sua rede principal não foi atingida e que a falha estava restrita à infraestrutura da provedora. Como medida de contenção, o BC desconectou a Sinqia da rede do Sistema Financeiro Nacional para impedir que a vulnerabilidade fosse explorada contra outras instituições.
A ação dos criminosos tem características de um ataque de cadeia de suprimentos, em que hackers exploram a infraestrutura de um provedor de tecnologia para alcançar diferentes bancos ao mesmo tempo. O método é semelhante ao utilizado em julho contra a empresa C&M Software, quando quase R$ 1 bilhão foi desviado.
Posições oficiais: Sinqia, HSBC e Artta
Em nota, a Sinqia informou que está conduzindo uma investigação com apoio de especialistas forenses independentes. A empresa destacou que o episódio envolveu “um número limitado de instituições financeiras” e que já está reconstruindo os sistemas afetados em um novo ambiente, com monitoramento reforçado e camadas adicionais de segurança.
O HSBC, banco mais impactado, afirmou que nenhuma conta de clientes foi atingida. Segundo a instituição, “as transações suspeitas ocorreram exclusivamente no sistema do provedor” e já foram bloqueadas. O banco declarou ainda que está à disposição das autoridades para colaborar com as investigações.
A Artta também confirmou que os valores desviados estavam em contas utilizadas para liquidação interbancária junto ao Banco Central e que nenhum cliente foi prejudicado. A fintech disse ter interrompido transações preventivamente no mesmo dia e reforçou seu compromisso com a transparência e a segurança.
O que é a Sinqia e qual sua importância para o mercado
Fundada no Brasil, a Sinqia é uma provedora de software e serviços para o setor financeiro, com foco em bancos, corretoras e fintechs. A companhia atua em duas frentes principais:
- Integração com o sistema financeiro – fornecendo a tecnologia que conecta instituições ao Pix e a outras plataformas do Banco Central.
- Core bancário – sistemas que operam contas, extratos e transações de clientes finais de bancos e financeiras.
Por sua relevância, a Sinqia foi adquirida em 2023 pela Evertec, multinacional de tecnologia de pagamentos com presença em toda a América Latina.
Impacto e preocupações regulatórias
O ataque contra a Sinqia levanta um alerta sobre a cibersegurança do sistema financeiro brasileiro, especialmente em operações críticas que dependem de empresas terceirizadas. Especialistas apontam que a repetição de ofensivas em um intervalo tão curto, primeiro contra a C&M Software, depois contra a Sinqia, evidencia fragilidades estruturais que precisam ser revistas.
Analistas defendem que o setor avance para modelos de segurança como o “zero trust”, que compartimentalizam acessos e limitam o alcance de invasores em caso de falhas. Atualmente, a invasão a um único ponto da infraestrutura pode liberar transações de valores altíssimos, como ocorreu neste episódio.
O Banco Central, por sua vez, destacou que a segurança é um dos pilares fundamentais do Pix e anunciou novos aprimoramentos no mecanismo de devolução de recursos para casos de fraude. A atualização será obrigatória a partir de fevereiro de 2026 e permitirá rastrear melhor o caminho dos valores desviados.
Investigação do ataque
A Polícia Federal foi acionada e abriu investigação para identificar a origem dos ataques e responsabilizar os envolvidos. Enquanto isso, a Sinqia segue reconstruindo seu ambiente Pix sob supervisão do Banco Central.
Para clientes de bancos e fintechs, não houve impacto direto nas contas pessoais, mas o episódio reforça a importância da proteção contra fraudes digitais. Especialistas recomendam que usuários mantenham boas práticas de segurança, como autenticação em dois fatores e monitoramento frequente de suas contas.
O ataque hacker à Sinqia expõe vulnerabilidades preocupantes na infraestrutura que conecta bancos ao Pix, mas também mostra a eficácia de mecanismos de bloqueio do Banco Central, que conseguiu recuperar a maior parte dos valores desviados.
