Incidente Sinqia — uma análise por Paula Yara CISO grupo Ivy
Um Perigoso Padrão se Repete
O ciberataque direcionado à Sinqia em agosto de 2025 não deveria ser visto como um evento isolado. Para quem acompanha segurança no setor financeiro, ele soa como uma repetição preocupante do incidente que atingiu a C&M Software apenas dois meses antes. Analisá-lo sem esse contexto é perder o ponto principal: estamos diante de uma campanha direcionada e bem-sucedida contra a cadeia de suprimentos de tecnologia do sistema financeiro brasileiro.
O episódio resultou em uma tentativa de desvio de centenas de milhões de reais e expôs fragilidades críticas do modelo Banking as a Service (BaaS). Minha intenção aqui é conectar os fatos a uma conclusão prática: a resposta a essa ameaça exige uma mudança fundamental: sair de uma segurança focada em perímetros para uma arquitetura de Confiança Zero Trust, com uma colaboração muito mais ativa entre instituições e provedores.
A Estrutura do Ataque
Os fatos daquela madrugada de sexta-feira, 29 de agosto, revelam a dimensão do problema. A operação foi rápida e silenciosa: os atacantes conseguiram acesso a sistemas da Sinqia responsáveis pela conexão de clientes à rede Pix.
A detecção só aconteceu horas mais tarde, um tempo valioso em qualquer incidente de segurança.
A ação decisiva veio do Banco Central (BC), que, ao ser notificado, desconectou a Sinqia do Sistema Financeiro Nacional (SFN) e conteve perdas maiores. Os comunicados oficiais que se seguiram, como é comum, foram contidos para evitar alarme no mercado enquanto as investigações avançavam.
O valor exato do prejuízo é um tema complexo. A imprensa reportou uma tentativa de desvio entre R$ 400 e R$ 420 milhões, tendo o HSBC e a Artta como as principais vítimas. É importante esclarecer um ponto técnico: os fundos não foram retirados de contas de clientes, mas das contas de reserva que as instituições mantêm no BC. A ação rápida do regulador permitiu que a maior parte desses valores fosse bloqueada e recuperada.
Ainda assim, fontes de mercado, como o portal Neofeed, indicaram que o valor total visado poderia ser muito maior, talvez próximo de R$ 1 bilhão. Para mim, essa discrepância é um sinal claro de que o plano dos atacantes era mais ambicioso e foi interrompido pela rápida resposta ao incidente.
A comunicação oficial de que um “número limitado de instituições” foi afetado, embora tecnicamente correta, subestimou o alcance do problema. Fontes do setor sugerem que até 20 instituições podem ter sido, de alguma forma, impactadas. Se considerarmos que a Sinqia atende mais de 70% dos bancos brasileiros, uma violação na sua infraestrutura central representa, por definição, um risco sistêmico.
O impacto real, portanto, vai além das perdas financeiras diretas. Ele inclui interrupções de serviço, custos de investigação e, o mais importante, a erosão da confiança pública na segurança do ecossistema de pagamentos digitais.
Desconstruindo o Vetor de Ataque
A técnica adotada é típica de ataques à cadeia de suprimentos: Em vez de confrontar as defesas de grandes bancos, os adversários miraram um fornecedor estratégico. Ao comprometer um provedor como a Sinqia, eles obtiveram um acesso que já era considerado confiável pelos sistemas dos seus alvos finais.
O mais alarmante é que esta tática não é nova. O ataque à Sinqia é um refinamento do método utilizado dois meses antes contra a C&M Software Leia aqui a análise. A similaridade entre os dois casos é evidente: o alvo foi a camada de integração do Pix, o objetivo foi desviar fundos das contas de reserva no BC e a contenção exigiu uma ação direta do regulador.
Isto muda a nossa perspetiva. Não estamos a analisar incidentes isolados, mas sim uma campanha em andamento. O sucesso do primeiro ataque validou a estratégia. O curto intervalo de tempo entre os dois eventos sugere que os atacantes exploram vulnerabilidades comuns entre os provedores do setor. A tabela comparativa demonstra este padrão de forma clara.
| Atributo | Incidente C&M Software | Incidente Sinqia |
| Data | Julho de 2025 | Agosto de 2025 |
| Alvo | C&M Software | Sinqia |
| Vetor | Cadeia de Suprimentos / Ameaça Interna | Cadeia de Suprimentos (provável Ameaça Interna) |
| Vítimas | BMP, Credsystem, etc. | HSBC, Artta |
| Impacto | Tentativa de ~R$ 1 bilhão | Tentativa de R$ 420 mi a R$ 1 bilhão |
| Fator Crítico | Ameaça interna confirmada | Hipótese forte de ameaça interna |
| Resposta | BC desconecta C&M | BC desconecta Sinqia |
A peça que conecta os dois eventos de forma definitiva é a ameaça interna. A investigação do caso da C&M confirmou que um profissional de TI vendeu suas credenciais de acesso por R$ 15.000. Ele foi o ponto de entrada.
Dada a correlação, é profissionalmente ingênuo não tratar a hipótese de insider threat como prioritária na investigação da Sinqia. Seja por malícia, negligência ou coação, um colaborador comprometido neutraliza camadas de controles técnicos. Os adversários sempre seguirão o caminho de menor resistência, e comprar uma credencial é, muitas vezes, mais simples e barato do que desenvolver um 0-day. Isso eleva a discussão do campo puramente técnico para a governança, a cultura de segurança e a gestão de recursos humanos.
A resposta à crise e a narrativa pública
A resposta ao incidente foi uma complexa coreografia entre a Sinqia, seus clientes e o Banco Central. A Sinqia isolou o ambiente e se desconectou proativamente; o HSBC agiu para conter as transações e tranquilizar o público; e o BC, como já mencionei, foi o agente de contenção final, o backstop de segurança do sistema.
A mensagem veiculada de que “nenhuma conta de cliente foi impactada” é uma manobra de relações públicas tecnicamente correta, mas estrategicamente míope. É claro que os saldos individuais não foram debitados, mas essa narrativa obscurece o risco sistêmico.
Uma perda de centenas de milhões das reservas de capital de um banco afeta sua solidez. A saúde financeira de uma instituição está diretamente ligada à sua capacidade de proteger seus clientes. Portanto, qualquer perda material para o banco é, indiretamente, um evento que afeta todo o seu ecossistema. Mais do que isso, a repetição desses ataques mina a confiança do público no sistema Pix como um todo, um ativo muito mais valioso e difícil de recuperar do que qualquer montante financeiro.
As Vulnerabilidades Arquitetônicas do Ecossistema
Esses ataques exploraram mais do que uma falha pontual, exploraram fraquezas arquitetônicas do nosso moderno ecossistema financeiro.
O modelo Banking as a Service acelerou a inovação,, mas também criou uma teia de responsabilidades de segurança. A segurança de um banco hoje depende da postura de dezenas de fornecedores. Essa interconexão, quando não gerida com rigor, cria uma superfície de ataque ampla e porosa. APIs expostas, credenciais compartilhadas e ambientes de terceiros fora do controle direto.
A estrutura do mercado brasileiro de tecnologia financeira, com a Sinqia atendendo a maioria dos bancos, cria o que chamo de “gargalo de segurança”. A proteção de muitos depende da resiliência de poucos. Um ataque a um provedor dominante não é um evento isolado; é um ataque sistêmico que ameaça a operação de quase todo o setor bancário simultaneamente.
Ao buscar eficiência, criamos, sem querer, pontos únicos de falha de valor inestimável para nossos adversários. Este é um problema arquitetônico, que não se resolve com um único banco fortalecendo seus muros, mas com uma abordagem de ecossistema.
O fato de dois grandes provedores serem violados por métodos semelhantes em tão pouco tempo é um atestado de falha dos programas de TPRM tradicionais. Questionários de autoavaliação e certificações anuais são insuficientes. Precisamos evoluir para um monitoramento contínuo, baseado em evidências, com direitos de auditoria e testes de intrusão mandatórios para fornecedores críticos. A confiança, no nosso ramo, deve ser sempre verificada.
O Futuro da Cibersegurança Financeira Pós-Sinqia
O incidente da Sinqia marca um ponto de inflexão. Mostra que a principal superfície de ataque do setor financeiro brasileiro migrou definitivamente para a cadeia de suprimentos. O risco de concentração deixou de ser teoria para se tornar uma vulnerabilidade explorada na prática.
A próxima onda de ataques será mais sofisticada, possivelmente usando IA para identificar vulnerabilidades e engenharia social avançada para cooptar insiders. Defender o ecossistema exige uma mudança real de paradigma. A era da segurança em silos, onde cada um cuida do seu, acabou. O futuro depende da nossa capacidade de construir uma resiliência coletiva, baseada em transparência, compartilhamento de inteligência de ameaças e um compromisso mútuo para elevar o padrão de segurança de cada elo desta corrente.
Se você atua no setor financeiro, em provedores de tecnologia ou na regulação, esta é uma agenda urgente para a qual precisamos dedicar recursos, governança e ação coordenada.
