Fintech Listo sofre ataque hacker via Pix e Banco Central emite alerta a participantes do sistema

Ataque compromete fintech automotiva via sistema de pagamentos instantâneos

A Listo Sociedade de Crédito Direto (SCD), instituição financeira regulada pelo Banco Central e especializada em soluções de crédito para o setor automotivo, sofreu um ataque hacker no dia 27 de maio de 2026 com o sistema Pix como vetor de exploração. A investida obrigou a empresa a acionar imediatamente seus protocolos de resposta a incidentes, comunicar o regulador e as autoridades competentes, além de adotar medidas emergenciais de contenção.

Banco Central age e alerta todo o ecossistema Pix

Ao ser notificado, o Banco Central enquadrou formalmente o episódio como um 'evento cibernético ou fraude' — classificação que ativa obrigações específicas para os participantes do arranjo de pagamentos instantâneos. Na sequência, o regulador encaminhou alertas orientando as demais instituições a bloquear eventuais recursos suspeitos, devolver valores fraudulentos após devida confirmação e manter equipes de segurança em avaliação contínua de riscos. O volume exato dos recursos comprometidos no ataque à Listo ainda estava sendo apurado pelas autoridades no momento da publicação desta reportagem.

Empresa afirma que operações seguem preservadas

Em nota, a Listo informou que adotou prontamente as medidas necessárias para mitigar os efeitos do incidente e que suas operações seguem ativas, sem impactos reportados para clientes. A empresa ressaltou ter comunicado o Banco Central e as autoridades policiais, cooperando com as investigações em curso. Apesar do tom tranquilizador, a ausência de detalhes sobre a extensão técnica da brecha mantém o mercado em atenção ao desdobramento do caso.

Incidente ocorre no pior momento para a segurança do sistema financeiro

O ataque à Listo acontece em um cenário já bastante tenso para a segurança do ecossistema financeiro nacional. Apenas nos primeiros cinco meses de 2026, o Banco Central registrou 33 incidentes de segurança — dos quais 25 foram classificados como fraude, o maior volume para um período equivalente desde que o regulador começou a monitorar esse tipo de evento. O ano de 2025, por sua vez, terminou com estimativas de que ataques hackers contra instituições financeiras desviaram aproximadamente R$ 1,5 bilhão, evidenciando uma escalada preocupante das ameaças digitais no setor.

O caso da Listo reacende o debate sobre a robustez dos controles de segurança em fintechs de menor porte que operam sobre infraestruturas críticas de pagamento. Para especialistas, a combinação de acesso ao Pix com eventuais lacunas em práticas de segurança cibernética cria uma superfície de ataque que exige atenção redobrada — tanto das próprias instituições quanto do regulador responsável por supervisionar o arranjo.