Ataque ao PIX expôs intrusão e falhas graves de governança em instituição financeira
O ataque cibernético que resultou em operações fraudulentas via PIX na semana passada não foi um evento isolado ou fruto apenas de habilidade técnica de criminosos. Ele combinou dois fatores críticos: uma intrusão aos ativos digitais da JD Consultores e uma falha de governança de um dos clientes da empresa, que deixou brechas regulatórias e operacionais abertas por meses.
Em comunicado enviado aos clientes às 19h25 de ontem, ao qual a reportagem teve acesso, a JD Consultores detalha que a ausência de atualização e desativação adequada dos certificados de conexão (PIC) e de assinatura (PIA) por parte de uma instituição cliente permitiu que terceiros não autorizados realizassem transações PIX em nome dessa instituição. Esses certificados funcionam, na prática, como chaves digitais que autenticam a identidade das instituições no ecossistema do PIX.
Embora o comunicado não cite nominalmente a instituição envolvida, há uma coincidência relevante. A JD relata que, “às 13h52 do dia 26/01/2026, uma Instituição Cliente JD com infraestrutura própria comunicou à JD atividade suspeita na operação por meio de chamado ao suporte helpdesk”. A data e o horário se alinham ao momento em que o Banco do Nordeste informou ter identificado um incidente de segurança em sua infraestrutura de transações PIX, o que reforça a associação entre os eventos, ainda que não haja confirmação oficial de que se trate da mesma entidade.
O texto da JD esclarece que, à época do incidente, o cliente já não usava mais a infraestrutura de TI compartilhada da consultoria, conhecida como PSTI JD. “Esta Instituição originalmente fazia parte do PSTI JD, tendo migrado para sua própria instalação em 16/09/25”, informa o comunicado. Em processos de migração desse tipo, uma das recomendações centrais – tanto do ponto de vista técnico quanto regulatório – é a substituição dos certificados PIC e PIA, seguida da desativação dos certificados antigos junto ao Banco Central.
A investigação interna, no entanto, mostrou que essa etapa crítica foi negligenciada: “Aprofundando as investigações, identificamos que a Instituição não havia realizado estes processos mencionados acima na mudança para sua infraestrutura e os certificados antigos ainda estavam válidos no Banco Central, o que se configurou como o maior vetor de vulnerabilidade na dinâmica do ataque”. Em outras palavras, os criminosos conseguiram se aproveitar de credenciais que jamais deveriam continuar ativas.
Para especialistas em segurança, esse tipo de falha não é apenas um deslize operacional; é um problema clássico de governança cibernética. Como resume Wilson Mendes Lauria, CEO da consultoria GRCIBER, citado no contexto do caso: “Governança Cibernética não é uma opção, mas sim uma condição crítica para o sucesso das operações. Cabe aos agentes de governança assegurar a supervisão e monitoramento do processo”. Na prática, isso significa que migrações de infraestrutura, atualização de certificados e rotinas de desativação de chaves antigas não podem ser tratadas como burocracia secundária, mas como parte do núcleo da estratégia de segurança.
O comunicado da JD também aborda a origem do vazamento dos certificados utilizados no ataque. A empresa afirma ter iniciado uma análise forense para determinar se a exposição das credenciais ocorreu na própria JD ou na instituição cliente. “Abrimos uma análise forense para identificar a origem dos certificados vazados, que poderia ter ocorrido na JD ou no Cliente. Constatamos que o vazamento partiu de uma base histórica do PSTI JD, que ficou mantida em função da obrigatoriedade regulatória de armazenamento dos dados históricos pelo período de 5 anos, em conformidade com o Manual de Segurança do Pix”, diz o texto.
Isso significa que os atacantes, em algum momento, conseguiram acessar uma base de dados histórica da JD, mantida por exigência regulatória. Essa intrusão permitiu a obtenção de certificados ainda válidos no Banco Central em nome da instituição que já havia migrado para infraestrutura própria, mas não havia concluído corretamente o processo de desativação das chaves antigas. Uma fonte técnica ouvida pela reportagem confirma que a explicação da JD aponta de fato para uma intrusão: seria impossível usar esses certificados sem que houvesse acesso indevido a sistemas que guardavam essas informações sensíveis.
A mesma fonte alerta para outra fragilidade estrutural do modelo atual: o Banco Central, nesse fluxo específico, ainda não valida se o certificado apresentado na solicitação da transação pertence, de fato, ao agente que está se apresentando como solicitante naquele momento. Ou seja, uma vez em posse de um certificado válido, o atacante consegue se passar pela instituição legítima dentro de determinados limites, o que amplia o potencial de dano caso esses certificados sejam vazados ou roubados.
O comunicado traz ainda um ponto técnico que ajuda a explicar a confusão em torno da renovação e desativação de certificados. Segundo a JD, o processo no módulo PIX é diferente do que acontece no Sistema de Pagamentos Brasileiro (SPB), outro ambiente em que diversas instituições utilizam certificados. “Vale mencionar que o processo de desativação dos certificados no Banco Central é diferente no Pix e no SPB, módulo que diversos clientes JD também possuem, o que pode ter gerado confusão para as Instituições”, explica.
No SPB, a lógica é mais simples: assim que um certificado é atualizado, o anterior é automaticamente desativado pelo sistema. Já no PIX, o desenho é mais complexo e, potencialmente, mais arriscado se não for bem gerido: “No Pix, múltiplos certificados podem estar ativos simultaneamente, sendo necessário realizar uma operação para desativar o certificado antigo, via BC CORREIO”, detalha a JD. Isso significa que, se a instituição não executar explicitamente esse procedimento, os certificados antigos continuam válidos, acumulando chaves ativas e ampliando a superfície de ataque.
A JD faz ainda uma ressalva importante sobre responsabilidades. No comunicado, a consultoria afirma não ter ingerência sobre o ciclo de vida das chaves digitais de seus clientes: “A JD não tem nenhum controle sobre o processo de emissão, guarda, vencimento e desativação dos certificados, sendo o mesmo de total responsabilidade da Instituição”. Em outras palavras, ainda que a base histórica estivesse sob cuidados da JD, a gestão dos certificados em produção – renovar, revogar, desativar – depende de processos internos e governança de cada instituição financeira.
Como resposta imediata ao incidente, o Banco Central adotou uma medida cautelar específica, conforme relatado pela JD. Em reunião, o regulador decidiu impor restrições às instituições clientes do PIX PSTI JD que não renovaram, não desativaram ou não migraram seus certificados PIA para infraestrutura própria. A ação consiste em limitar as transações de débito via PIX apenas a dias com expediente bancário, entre 6h30 e 18h30. A restrição é direcionada às instituições em situação irregular e não ao PSTI da JD em si, que permaneceu operando normalmente.
Esse tipo de limitação tem dois objetivos: reduzir a janela temporal para ação de fraudadores, dificultando operações em horários mais vulneráveis, e pressionar as instituições a regularizarem rapidamente a gestão de seus certificados. Ao restringir transações fora do horário comercial, o Banco Central dispõe de mais capacidade de monitorar, reagir e, se necessário, interromper fluxos suspeitos com apoio de times de segurança e tecnologia em funcionamento pleno.
O caso joga luz sobre um ponto pouco compreendido fora dos círculos técnicos: certificados digitais são hoje um dos principais pilares de confiança de todo o sistema financeiro eletrônico. Eles são usados para identificar sistemas, criptografar comunicações e autorizar transações. Quando essas chaves não são administradas com rigor – com políticas claras de geração, armazenamento seguro, renovação periódica e revogação imediata em caso de suspeita de comprometimento -, a segurança de toda a cadeia é colocada em risco, por mais robusta que seja a tecnologia subjacente.
Também fica evidente a importância de processos maduros de encerramento e migração de serviços. Ao deixar a infraestrutura compartilhada (PSTI) e adotar uma instalação própria, a instituição envolvida deveria ter tratado a troca e desativação de certificados como uma etapa crítica, não como um detalhe a ser resolvido depois. Em governança de TI e segurança cibernética, o “depois” frequentemente se transforma em brecha explorável por criminosos, como demonstrado neste ataque.
Outro aprendizado fundamental diz respeito à transparência e à rastreabilidade. A decisão da JD de abrir uma análise forense para apurar a origem do vazamento – e de comunicar, ainda que de forma técnica, os achados aos clientes – é um passo necessário para recompor a confiança. Mas ele precisa ser acompanhado de revisões estruturais, como segregação mais rígida de bases históricas, controles adicionais de acesso, criptografia de alto nível em repouso e em trânsito, além de testes regulares de intrusão e auditorias independentes.
Para as instituições financeiras e de pagamento, o episódio reforça a urgência de fortalecer a governança cibernética em vários níveis. Isso inclui definir claramente responsáveis por segurança e continuidade de negócios, estabelecer comitês de risco que acompanhem rotineiramente indicadores de segurança, manter inventário atualizado de certificados e credenciais, e adotar ferramentas automatizadas para alertar sobre certificados vencidos, duplicados ou não revogados. Boas práticas de mercado já recomendam, por exemplo, a adoção de cofre de chaves (HSM ou soluções equivalentes), com controle de acesso baseado em múltiplos fatores e trilhas de auditoria detalhadas.
Do ponto de vista regulatório, o incidente deve acelerar discussões sobre melhorias nos fluxos de validação de certificados pelo próprio Banco Central. A constatação de que o sistema ainda não verifica se o certificado em uso pertence, de fato, ao solicitante real abre margem para refinamentos, como mecanismos adicionais de verificação de identidade, amarração mais rígida entre certificados e canais autorizados, ou mesmo a adoção de camadas complementares de autenticação para operações de alto valor ou risco ampliado.
Para o usuário final do PIX – pessoas físicas e empresas que utilizam o sistema no dia a dia – o caso serve como lembrete de que a segurança não depende apenas de senhas fortes ou de evitar clicar em links suspeitos. A robustez do sistema está diretamente ligada à disciplina operacional e à responsabilidade de cada instituição participante. Quando um elo dessa cadeia falha na governança, todos os que confiam naquele elo ficam mais expostos.
Por fim, o ataque evidencia uma realidade incômoda, mas inevitável: à medida que o ecossistema financeiro se torna mais digital, a fronteira entre tecnologia, regulação e gestão passa a ser indissociável. Não basta ter infraestrutura moderna; é indispensável ter processos sólidos, equipes treinadas, cultura de segurança e governança ativa. Sem isso, mesmo os sistemas mais avançados – como o PIX – podem ser comprometidos não por falhas na tecnologia em si, mas pela combinação perigosa de intrusão bem-sucedida e falhas humanas de governança.