A Sinqia, empresa que conecta os bancos ao sistema Pix, foi alvo de um ataque hacker na tarde de sexta-feira (29), que resultou no desvio de R$ 670 milhões, segundo fontes, um montante maior do que o estimado inicialmente. Deste total, R$ 630 milhões eram do HSBC e R$ 40 milhões da Sociedade de Crédito Direto Artta. Os criminosos tentaram desviar mais recursos, em montante superior a R$ 1 bilhão, mas foram barrados pela ação do Banco Central (BC).
O episódio ocorre exatamente dois meses após a fraude na C&M Software, outra empresa responsável por fazer a ligação entre bancos e fintechs ao sistema de meio de pagamento do BC. Na avaliação de especialistas, o novo caso movido a problemas com empresas de tecnologia expõe brechas que apontam a necessidade de aprimorar regras e supervisão do sistema.
R$ 366 milhões bloqueados
Do total de recursos desviados, R$ 366 milhões já foram bloqueados. As equipes envolvidas seguem mobilizadas para recuperar o restante do valor roubado, e a Polícia Federal investiga o caso. A Sinqia está sem acesso ao ambiente Pix.
Em nota, a empresa afirmou que investiga o caso e trabalha para reconstruir os sistemas afetados em um novo ambiente com monitoramento e controles aprimorados. “Depois que o ambiente for reconstruído e estivermos confiantes de que está pronto para ser colocado de volta em funcionamento, o Banco Central irá revisá-lo e aprová-lo antes de colocá-lo novamente on-line.”
Contas não foram afetadas, diz HSBC
O HSBC afirmou que identificou transações financeiras via Pix em uma conta de um provedor do banco. E acrescentou que a operação não afetou contas de clientes ou fundos, pois o impacto teria ocorrido exclusivamente no sistema do provedor.
“O banco esclarece ainda que medidas foram tomadas para bloquear essas transações no ambiente do provedor. O HSBC reafirma o compromisso com a segurança de dados e está à disposição das autoridades para colaborar com as investigações”, afirmou.
A Artta confirmou, em nota, o ataque e disse que o incidente atingiu contas que mantém diretamente no BC para liquidação interbancária, sem impacto para os clientes. “Não houve ataque ao ambiente da Artta nem às contas de nossos clientes”, afirmou.
Foco em regulação e supervisão
No começo de julho, um ataque à C&M foi facilitado, segundo os investigadores, por um funcionário da empresa que repassou credenciais aos criminosos. Naquele caso, foram desviados mais de R$ 800 milhões. Dois meses depois do desvio, o trabalho para rever a totalidade dos recursos ainda continua.
Embora o sistema do BC não tenha sido invadido em nenhum dos dois episódios, técnicos ouvidos sob reserva avaliam que os ataques colocam os problemas de regulação e supervisão do órgão em evidência, sobretudo devido à redução crônica de pessoal e às limitações financeiras.
O quadro de funcionários do BC vem passando por redução drástica nos últimos anos, com aposentadorias e perda de talentos para outros órgãos ou para o setor privado. Mas as atribuições do regulador aumentam devido ao crescimento e diversificação das instituições reguladas e dos modelos de negócios.
Provedores de serviço de tecnologia
O advogado Aylton Gonçalves, especialista em regulação financeira, avalia que o novo ataque mostra que pessoas envolvidas em atividades ilícitas parecem ter compreendido dois elementos importantes quanto ao mercado de provedores de serviços de tecnologia: a concentração, com apenas sete empresas ativas, e a a dependência operacional de instituições reguladas pelo BC, considerando que várias precisam dessas empresas para seus negócios. Ele reforça que é importante o BC avançar na supervisão e regulação dessas empresas:
— É muito importante que a supervisão dessas empresas seja mais robusta. Além disso, é possível pensar na necessidade de que a regulação avance quanto à prevenção a fraudes e segurança cibernética — disse.
Algumas limitações da carreira no BC, porém, podem ser um entrave. O Pix funciona 24h por dia e sete dias por semana, mas não há previsão para pagamento de adicional noturno ou de horas trabalhadas aos fins de semana para o monitoramento. Interlocutores ainda avaliam que é necessário rever regras relativas a instituições reguladas e a empresas de tecnologia — algo que, da mesma forma, demanda recursos e pessoal.
Pessoas com conhecimento no assunto afirmam que, do ponto de vista de segurança, o ideal seria que cada instituição tivesse seu próprio acesso ao sistema do BC, mas reconhecem que seria inviável para as empresas menores devido ao custo. O regulador tem uma rede específica para a comunicação com as instituições financeiras, com criptografia forte e baseadas em certificados digitais.
Os participantes que se conectam diretamente a esta rede por meio de links privados na sede da instituição. Além disso, cada operação tem uma chave única, verificada pelas duas partes (BC e instituição).
Fonte: G1
