Por Redação O Sul | 17 de fevereiro de 2026
Após o ataque hacker registrado contra o Banco do Nordeste (BNB) no dia 26 de janeiro, o Banco Central (BC) começou a conversar com a provedora JD Consultores e, ao constatar uma fragilidade, mandou que ela restringisse a operação de Pix para determinados clientes. A decisão ocorreu na última sexta-feira, antes do carnaval, quando geralmente as tentativas de golpe aumentam.
Em comunicado a clientes ao qual o jornal Valor Econômico teve acesso, a JD diz que recebeu uma comunicação de um cliente (ela não revela o nome, mas trata-se do BNB) informando sobre atividades suspeitas em sua rede. O ataque acessou APIs do BC usando as chaves PIA e PIC do BNB. Acontece que até setembro, o BNB se conectava ao sistema do Pix indiretamente, usando os serviços de provedora de serviços de tecnologia da informação (PSTI) da JD. Só depois disso o BNB passou a se conectar diretamente ao Pix, e não teria trocado os certificados PIA e PIC e desativado os antigos.
“Aprofundando as investigações, identificamos que a instituição não havia realizado estes processos mencionados acima na mudança para sua infraestrutura e os certificados antigos ainda estavam válidos no Banco Central, o que se configurou como o maior vetor de vulnerabilidade na dinâmica do ataque”, diz o comunicado da JD. Ela acrescenta que o vazamento dos certificados PIA e PIC antigos do BNB partiu de uma base de dados histórica sua, “que ficou mantida em função da obrigatoriedade regulatória de armazenamento dos dados históricos pelo período de cinco anos”.
A JD diz que o processo de desativação dos certificados no BC é diferente no Pix e no sistema de pagamentos brasileiros (SPB), onde são feitas as transações de TED, por exemplo. No SPB, uma vez que o certificado é atualizado, o antigo é automaticamente desativado. Já no Pix, múltiplos certificados podem estar ativos simultaneamente, sendo necessário realizar uma operação para desativar o certificado antigo.
“A JD não tem nenhum controle sobre o processo de emissão, guarda, vencimento e desativação dos certificados”, diz a provedora, esclarecendo que os mesmos são de total responsabilidade das instituições financeiras.
Ao longo da análise forense, a JD diz que trabalhou em conjunto com o BC e o regulador identificou que ainda havia instituições em situação irregular, ou seja, que não haviam substituído o PIA e PIC e/ou revogado os certificados antigos, na mesma situação em que estava o BNB. Assim, no início da noite de sexta-feira o BC teria solicitado que a JD restringisse as operações de Pix antes do carnaval.
“A medida consiste em limitar as transações de débito Pix a dias com expediente bancários, no período de 06h30 às 18h30 e foi direcionada para as instituições e não para o PSTI JD, que continuou operando normalmente sem qualquer impacto para os clientes regularizados, assim como os clientes com infraestrutura própria. Os clientes do SPB não foram impactados”, diz a companhia.
A JD diz que, em conjunto com o BC, alinhou uma rotina de plantão no período do carnaval em que diariamente, às 9h, a lista das instituições em não conformidade (ou seja, que ainda não apagaram registros antigos de PIA e PIC) é revisada e aquelas que estiverem 100% regularizadas são liberadas das limitações impostas pela medida cautelar”.
Procurada pelo jornal Valor Econômico, a JD disse em nota que mais de 80% das instituições que são suas clientes já se encontram regularizadas e voltaram a operar normalmente no Pix. “A JD Consultores reforça que a infraestrutura do PSTI JD não foi comprometida e segue operando em segurança. A empresa segue colaborando ativamente com o regulador e com seus clientes. Com 25 anos de atuação no mercado financeiro, reafirmamos nosso compromisso com a credibilidade, a transparência e a continuidade dos serviços.” As informações são do jornal Valor Econômico.
Você receberá um email de confirmação após enviar o seu primeiro comentário, mas ele só será publicado depois que você clicar no link de verificação enviado para a sua conta de e-mail para confirma-lo. Os próximos comentários serão publicados automaticamente por 30 dias!