Ataque hacker levou R$ 670 milhões, mais do que o estimado

Foi o segundo episódio em dois meses contra o meio de pagamento do Banco Central. PF investiga o caso. Para analistas, é preciso reforçar supervisão

O episódio ocorre exatamente dois meses após a fraude na C&M Software, outra empresa responsável por fazer a ligação entre bancos e fintechs ao sistema de meio de pagamento do BC. Na avaliação de especialistas, o novo caso movido a problemas com empresas de tecnologia expõe brechas que apontam a necessidade de aprimorar regras e supervisão do sistema.

Do total de recursos desviados, R$ 366 milhões já foram bloqueados. As equipes envolvidas seguem mobilizadas para recuperar o restante do valor roubado, e a Polícia Federal investiga o caso. A Sinqia está sem acesso ao ambiente Pix.

Em nota, a empresa afirmou que investiga o caso e trabalha para reconstruir os sistemas afetados em um novo ambiente com monitoramento e controles aprimorados. “Depois que o ambiente for reconstruído e estivermos confiantes de que está pronto para ser colocado de volta em funcionamento, o Banco Central irá revisá-lo e aprová-lo antes de colocá-lo novamente on-line.”

O HSBC afirmou que identificou transações financeiras via Pix em uma conta de um provedor do banco. E acrescentou que a operação não afetou contas de clientes ou fundos, pois o impacto teria ocorrido exclusivamente no sistema do provedor.

“O banco esclarece ainda que medidas foram tomadas para bloquear essas transações no ambiente do provedor. O HSBC reafirma o compromisso com a segurança de dados e está à disposição das autoridades para colaborar com as investigações", afirmou.

A Artta confirmou, em nota, o ataque e disse que o incidente atingiu contas que mantém diretamente no BC para liquidação interbancária, sem impacto para os clientes. "Não houve ataque ao ambiente da Artta nem às contas de nossos clientes”, afirmou.

No começo de julho, um ataque à C&M foi facilitado, segundo os investigadores, por um funcionário da empresa que repassou credenciais aos criminosos. Naquele caso, foram desviados mais de R$ 800 milhões. Dois meses depois do desvio, o trabalho para rever a totalidade dos recursos ainda continua.

Embora o sistema do BC não tenha sido invadido em nenhum dos dois episódios, técnicos ouvidos sob reserva avaliam que os ataques colocam os problemas de regulação e supervisão do órgão em evidência, sobretudo devido à redução crônica de pessoal e às limitações financeiras.

O quadro de funcionários do BC vem passando por redução drástica nos últimos anos, com aposentadorias e perda de talentos para outros órgãos ou para o setor privado. Mas as atribuições do regulador aumentam devido ao crescimento e diversificação das instituições reguladas e dos modelos de negócios.

O advogado Aylton Gonçalves, especialista em regulação financeira, avalia que o novo ataque mostra que pessoas envolvidas em atividades ilícitas parecem ter compreendido dois elementos importantes quanto ao mercado de provedores de serviços de tecnologia: a concentração, com apenas sete empresas ativas, e a a dependência operacional de instituições reguladas pelo BC, considerando que várias precisam dessas empresas para seus negócios. Ele reforça que é importante o BC avançar na supervisão e regulação dessas empresas:

— É muito importante que a supervisão dessas empresas seja mais robusta. Além disso, é possível pensar na necessidade de que a regulação avance quanto à prevenção a fraudes e segurança cibernética — disse.

Algumas limitações da carreira no BC, porém, podem ser um entrave. O Pix funciona 24h por dia e sete dias por semana, mas não há previsão para pagamento de adicional noturno ou de horas trabalhadas aos fins de semana para o monitoramento. Interlocutores ainda avaliam que é necessário rever regras relativas a instituições reguladas e a empresas de tecnologia — algo que, da mesma forma, demanda recursos e pessoal.

Pessoas com conhecimento no assunto afirmam que, do ponto de vista de segurança, o ideal seria que cada instituição tivesse seu próprio acesso ao sistema do BC, mas reconhecem que seria inviável para as empresas menores devido ao custo. O regulador tem uma rede específica para a comunicação com as instituições financeiras, com criptografia forte e baseadas em certificados digitais.

Os participantes que se conectam diretamente a esta rede por meio de links privados na sede da instituição. Além disso, cada operação tem uma chave única, verificada pelas duas partes (BC e instituição).