Luiz Guardieiro é diretor de receita da Portão 3 (P3), plataforma de gestão de pagamentos

O recente ataque hacker que desviou cerca de R$ 800 milhões por meio de transações via Pix não é apenas um episódio isolado de fraude bancária. É, antes de tudo, um sintoma de um sistema financeiro que corre mais rápido do que é capaz de se proteger. A mesma arquitetura que consagrou o Brasil como referência global em pagamentos instantâneos também revelou, nessa brecha, sua fragilidade mais grave: a dependência silenciosa de intermediários tecnológicos pouco visíveis, mas extremamente estratégicos.

A ação dos criminosos não hackeou o Banco Central nem violou firewalls de grandes instituLuiz Guardieiro ições. O golpe veio pelas bordas – explorando vulnerabilidades em prestadores terceirizados que fazem a ponte entre bancos e a infraestrutura do Banco Central. É como se os invasores tivessem entrado pela porta da frente, com crachá e senha válidos. Isso escancara uma falha de concepção: a confiança cega em intermediários, sem um sistema robusto de validação contínua e resposta a anomalias.

Não é a primeira vez que a inovação avança mais rápido que a regulação, mas talvez seja uma das mais impactantes. O Pix, que movimenta trilhões anualmente e é adotado por mais de 150 milhões de brasileiros, tornou-se parte essencial da vida cotidiana. Mas, justamente por essa ubiquidade, o sistema não pode depender da fé na boa implementação de APIs por empresas terceiras. A responsabilidade pela solidez não pode ser fragmentada. Se há um sistema nacional de pagamentos, ele deve ser nacional também na vigilância.

O episódio também acende um alerta sobre o modelo de terceirização da inovação. Muitas fintechs e bancos médios se apoiam nesses provedores tecnológicos para garantir competitividade e integração. Mas o que antes era uma solução ágil agora se mostra um risco sistêmico. Se os prestadores não têm o mesmo grau de segurança, auditoria e prontidão que as instituições financeiras, a cadeia inteira se enfraquece. O elo mais frágil vira porta de entrada para prejuízos bilionários – e silenciosos.

A resposta, portanto, não pode ser apenas punitiva ou paliativa. É preciso repensar o desenho das responsabilidades digitais: o que deve ser padronizado, auditado e supervisionado pelo regulador? Quais requisitos técnicos mínimos um PSTI precisa cumprir para operar em escala nacional? A inovação financeira exige, mais do que velocidade, maturidade institucional. E isso inclui reconhecer que tecnologia sem governança vira passivo – não ativo.

O ataque de R$ 800 milhões não foi apenas um assalto. Foi uma advertência. Uma convocação para que o país atualize não apenas seus sistemas, mas também sua mentalidade regulatória. A era dos pagamentos instantâneos não pode ser também a era das fraudes invisíveis. A confiança digital precisa ser construída com mais do que códigos: ela exige vigilância, estrutura e responsabilidade compartilhada.