Entendi, agora só fiquei mais curioso para saber como bancos como o Sicoob, por exemplo, disponibilizam webhooks de PIX, como eles devem fazer para mitigar esses riscos.
O sicoob assim como outros 1000 e tantos PSPs, está autorizado a fazer esse tipo de operação.
Exatamente se o bacen exigisse que o PSP do recebedor sempre enviasse webhook para a url fornecida no payload do PIX copia e cola. Seria possível usar o PIX para receber de maneira automatizada sem depender de intermediários, mas provavelmente não seria economicamente viável.