Fintech Monbank tem R$ 4,9 mi desviados em ataque hacker – terceira onda de fraudes no SPB

Quando Monbank teve R$ 4,9 milhões subtraídos na madrugada de 2 de setembro de 2025, o ciberataque foi o mais recente sinal de que a infraestrutura oculta do Sistema de Pagamentos Brasileiro (SPB) está sendo visada como prato cheio dos criminosos digitais. O roubo ocorreu em menos de duas horas, com mais de 200 tranferências via Pix disparadas para contas‑laranja espalhadas pelo país.

Contexto da onda de ataques ao SPB

Desde junho de 2025, o setor financeiro brasileiro vive um verdadeiro terremoto de incidentes cibernéticos. O primeiro grande terremoto foi o ataque à C&M Software, que desviou mais de R$ 1 bilhão ao explorar credenciais vendidas por um funcionário interno. Em julho, o Banco Central declarou que o país havia sofrido o maior ataque cibernético da história financeira. Poucos dias depois, a Sinqia viu R$ 670 milhões evaporarem, e parte desse montante foi recuperada graças ao bloqueio rápido das transações suspeitas.

Esses episódios mostraram um padrão: hackers focam nas prestadoras de tecnologia – as chamadas PSTI (Prestadoras de Serviços de Tecnologia da Informação) – que ligam bancos e fintechs ao ambiente de liquidação do Pix, controlado pelo Banco Central do Brasil. Quando a porta de entrada está nos bastidores, o impacto pode ser devastador, mas costuma passar despercebido pelo público.

Detalhes do ataque à Monbank

No caso da Monbank, os invasores conseguiram infiltrar-se em um aplicativo interno usado para gerar instruções de pagamento. A partir daí, foram acionadas 215 transações via Pix, todas para contas‑laranja que não tinham vínculo direto com a fintech. O volume total foi de R$ 4,9 milhões, valor que ainda não foi totalmente recuperado.

O ataque revela duas vulnerabilidades críticas:

1. Falta de segmentação de privilégios dentro das ferramentas de back‑office.
2. Ausência de monitoramento em tempo real de padrões de movimentação atípicos.

Segundo a própria Monbank, o incidente está sendo investigado em parceria com a equipe de resposta a incidentes do Banco Central e com consultorias externas de segurança da informação. Até o momento, a fintech afirma que seus clientes ‑ tanto pessoas físicas quanto jurídicas – não foram diretamente impactados.

Repercussões e respostas do Banco Central

O Banco Central, que já vinha apertando as regras de segurança, divulgou nesta semana um novo conjunto de medidas. Em setembro de 2025, foi imposto um limite de R$ 15 mil para transferências via Pix e TED realizadas por instituições de pagamento que dependem de intermediários tecnológicos. Além disso, a autarquia definiu que a partir de maio de 2026 nenhuma fintech poderá operar sem autorização formal.

Em nota, o Banco Central afirmou: "Estamos monitorando intensamente a movimentação no SPB e reforçamos a necessidade de controle de acesso robusto em todas as camadas de tecnologia que conectam instituições ao Pix." O órgão também alertou que novas investigações apontam para um possível ataque ainda não divulgado contra a fintech Monetarie, que foi neutralizado antes de causar danos.

Impactos sobre o ecossistema fintech

Além da Monbank, outros players sofreram golpes recentes. Em 19 de outubro de 2025, a FictorPay viu R$ 26 milhões subtraídos após hackers explorarem uma falha em aplicativos internos, movimentando cerca de 280 transações para 270 contas‑laranja. A mesma data registrou um ataque contra a Diletta, que perdeu mais de R$ 40 milhões por meio de uma vulnerabilidade própria, diferente dos roubos de credenciais em PSTIs.

Esses incidentes têm consequências imediatas:

• Elevação dos custos de compliance para fintechs, que precisam investir em auditorias contínuas.
• Desconfiança dos consumidores, que podem migrar para bancos tradicionais mais seguros.
• Pressão regulatória para que o Banco Central exija certificações de segurança avançada, como ISO 27001, de todos os provedores de tecnologia.

Especialistas em cibersegurança apontam que a tendência é que os criminosos deixem de atacar apenas as PSTIs e passem a mirar diretamente as fintechs que já têm algum grau de autonomia, como a Monbank e a FictorPay. "O que mudou é o ponto de entrada, não o alvo final", comenta a analista de risco digital Carla Menezes, da consultoria SecuriTech.

Próximos passos e medidas de segurança

Para conter a escalada, o Banco Central recomenda que todas as instituições adotem as seguintes práticas até o final de 2025:

1. Implementação de autenticação multifator (MFA) em todos os sistemas críticos.
2. Mapeamento e isolamento de privilégios de usuários internos.
3. Monitoramento de anomalias com inteligência artificial capaz de identificar padrões fora do comum em tempo real.
4. Teste de penetração trimestral realizado por empresas independentes.
5. Criptografia ponta a ponta para todas as transações internas.

Fintechs que ainda não possuem certificação de segurança deverão buscar auditorias externas ainda este semestre. Caso contrário, correm o risco de ter suas autorizações revogadas quando as novas normas entrarem em vigor.

Resumo dos principais fatos

• 2 de setembro 2025 – Monbank tem R$ 4,9 mi desviados por ciberataque;
• Junho 2025 – C&M Software perde mais de R$ 1 bi, caso que revelou venda interna de credenciais;
• Agosto 2025 – Sinqia sofre roubo de R$ 670 mi;
• 19 de outubro 2025 – FictorPay e Diletta são alvos, somando mais de R$ 66 mi perdidos;
• Setembro 2025 – Banco Central impõe limite de R$ 15 mil e exige autorização formal para fintechs a partir de maio 2026.