MED 2.0 e o elo com a segurança corporativa: por que o golpe no Pix começa onde começa o ataque cibernético

No dia 2 de fevereiro entrou em vigor o MED 2.0, a versão atualizada do Mecanismo Especial de Devolução do Pix. A principal novidade é o rastreamento em cadeia: quando o dinheiro é transferido rapidamente para contas intermediárias, o sistema agora consegue seguir o caminho completo e bloquear valores mesmo após várias transferências. A expectativa do Banco Central é reduzir em até 40% as fraudes bem-sucedidas. Mas, para quem trabalha com cibersegurança corporativa, a notícia carrega uma pergunta mais ampla: por que tantas pessoas continuam caindo em golpes que dependem, antes de qualquer coisa, de engenharia social? E, mais importante, o que isso tem a ver com a postura de segurança da sua empresa?

A resposta está nos comportamentos. Em 2025, segundo a ADDP, aproximadamente 28 milhões de brasileiros foram vítimas de golpes envolvendo Pix. Os métodos mais frequentes seguem um padrão previsível: falsa central de atendimento, QR Codes adulterados, clonagem de WhatsApp, falsas vagas de emprego e lojas inexistentes com ofertas tentadoras. Em todos esses cenários, o ponto de entrada não é uma falha de sistema, e sim uma decisão humana tomada sob pressão, urgência ou excesso de confiança. A pessoa clica no link, acredita na história, fornece o código, faz a transferência. O atacante não invade: é convidado a entrar.

Esses mesmos comportamentos aparecem no ambiente corporativo com outra roupagem, mas com a mesma dinâmica. O colaborador que cai no golpe da falsa central de atendimento em casa é o mesmo que pode clicar em um e-mail de phishing no escritório. Quem aceita uma oferta boa demais sem verificar a origem é o mesmo que abre anexos de remetentes desconhecidos porque o assunto parecia urgente. A confiança excessiva em mensagens com tom institucional, a dificuldade de validar solicitações fora do canal esperado e a reação impulsiva diante de narrativas de urgência são padrões que não mudam quando a pessoa troca o celular pessoal pelo notebook da empresa.

Para os atacantes, essa continuidade comportamental é um trunfo. As táticas de engenharia social que funcionam no golpe do Pix servem de laboratório para campanhas maiores. A ESET alertou recentemente que, em 2026, os golpes não começam mais com erro de português; começam com o nome da vítima, sua cidade e uma história que faz sentido para ela. A inteligência artificial potencializa a engenharia social, tornando o convencimento mais rápido e preciso. Deepfakes de autoridades públicas já circulam para dar credibilidade a cobranças falsas. Se esse nível de sofisticação atinge a pessoa física, é ingênuo imaginar que a pessoa jurídica está imune. O mesmo colaborador que recebe um vídeo falso em casa pode receber um áudio clonado do suposto CFO pedindo liberação de pagamento.

Do ponto de vista de defesa, isso significa que a segurança corporativa precisa considerar o comportamento fora do expediente como parte do risco. Não se trata de vigiar a vida pessoal do colaborador, e sim de reconhecer que a superfície de ataque inclui hábitos, crenças e vieses que não desligam às 18 horas. Treinamentos de conscientização ganham mais valor quando mostram a ponte entre o golpe do dia a dia e o incidente que pode parar a operação. Simulações de phishing internas que replicam narrativas reais de fraude, como falsas centrais e ofertas irresistíveis, ajudam a calibrar a desconfiança saudável que falta em tantos casos.

Há também uma lição de processo. O MED 2.0 existe porque o modelo anterior falhava em rastrear o dinheiro depois da primeira conta. A solução foi ampliar a visibilidade e integrar informações entre instituições. Em cibersegurança, o raciocínio é o mesmo: quando a detecção para na primeira camada, o atacante movimenta lateralmente sem fricção. Ter visibilidade do caminho que uma ameaça percorre dentro do ambiente, correlacionar eventos entre diferentes fontes e agir antes que o estrago se espalhe são princípios que valem tanto para o Banco Central quanto para o seu SOC.

Por fim, vale lembrar que tecnologia sozinha não resolve. O MED 2.0 melhora a recuperação de valores, mas não impede que a pessoa faça o Pix. Da mesma forma, um EDR robusto reduz o tempo de detecção, mas não evita que o colaborador clique no link. A camada humana continua sendo o primeiro e o último filtro. Investir em cultura de segurança, com linguagem simples, exemplos próximos da realidade e reforço constante, é o que transforma conhecimento em comportamento. E comportamento, como os números mostram, é onde o golpe começa e onde o ataque avança.