Entendi, agora só fiquei mais curioso para saber como bancos como o Sicoob, por exemplo, disponibilizam webhooks de PIX, como eles devem fazer para mitigar esses riscos.
Respondendo a "Pelo que li no github do pessoal do Bacen, isso..." dentro da publicação Uma Biblioteca PHP para PIX Estáticos
1
2
O sicoob assim como outros 1000 e tantos PSPs, está autorizado a fazer esse tipo de operação.
1
Exatamente se o bacen exigisse que o PSP do recebedor sempre enviasse webhook para a url fornecida no payload do PIX copia e cola. Seria possível usar o PIX para receber de maneira automatizada sem depender de intermediários, mas provavelmente não seria economicamente viável.