Archetyp Links

Em nota, a Sinqia afirmou que as transações não autorizadas teriam sido introduzidas por meio da exploração de credenciais legítimas de fornecedores de TI Publicidade O volume de recursos desviados do Pix no ataque hacker à empresa de tecnologia Sinqia já chega a cerca de R$ 710 milhões — inicialmente, estimava-se R$ 420 milhões. Foram R$ 669 milhões desviados do HSBC e R$ 41 milhões da sociedade de crédito direto (SCD) Artta. Desse montante, R$ 589 milhões já foram bloqueados pelo Banco Central, o que corresponde a 83% do valor, segundo informações obtidas pelo Globo. A ação criminosa no sistema da Sinqia, empresa que faz a ligação tecnológica entre a rede do Banco Central e bancos e fintechs, ocorreu na tarde da última sexta-feira. Foi o segundo roubo milionário em dois meses. No final de junho, criminosos desviaram mais de R$ 800 milhões do Pix via C&M Software, que atua no mesmo ramo da Sinqia. Nos dois casos, o sistema do Banco Central não foi comprometido e os clientes dos bancos e fintechs não foram afetados, já que o ataque ocorreu nas contas que as instituições mantêm para liquidação bancária. Continua depois da publicidade No Banco Central, técnicos ouvidos sob reserva admitem que o regulador já deveria ter tomado medidas mais contundentes para fechar as brechas do sistema que estão sendo exploradas por grupos criminosos. Isso vale tanto para os ataques ao Pix quanto para os casos de infiltração em instituições reguladas para ocultação de valores ilícitos, como mostram as recentes operações da Polícia Federal. Como mostrou o Globo, o Banco Central deve focar em medidas de segurança mais restritivas nos próximos meses, deixando outras agendas em segundo plano. A avaliação é de que, sem perspectiva de avanço rápido na ampliação da autonomia do BC, será preciso concentrar todos os recursos financeiros e humanos nessa agenda de fortalecimento da regulação. Segundo técnicos, é necessária uma mudança ampla nas regras que regem o Pix, as instituições de pagamento e as instituições financeiras em geral. A intenção, porém, é avançar na equalização das regras entre fintechs e bancos, embora também deva haver um aperto nas normas para as instituições tradicionais. Continua depois da publicidade No Pix, uma ideia em estudo é diferenciar o período de liquidação conforme o valor da transação. O regulador pode estabelecer um prazo maior para transferências de valores elevados, na casa dos milhões, para ter mais tempo para analisar a licitude da operação, por exemplo. Atualmente, as transações Pix demoram normalmente 10 segundos. O novo ataque ao Pix também reforçou a percepção de que as prestadoras de serviços de tecnologia estão se mostrando um elo fraco e vulnerável do sistema. Segundo interlocutores, nos dois ataques, as ordens de transferência começaram nas próprias empresas de tecnologia, e não nas instituições afetadas. Suspeita-se que as prestadoras de serviços, que deveriam se limitar à integração de sistemas, estão tendo acesso às chaves de transação, que dão início à transferência e são de posse exclusiva das instituições reguladas pelo Banco Central. Continua depois da publicidade De acordo com pessoas com conhecimento no assunto, o ideal, do ponto de vista da segurança, seria que cada instituição tivesse sua própria ligação direta com o Banco Central, mas isso seria inviável do ponto de vista do custo. Em nota, a Sinqia afirmou que resultados preliminares da investigação forense indicam que as transações não autorizadas foram introduzidas no ambiente Pix por meio da exploração de credenciais legítimas de fornecedores de TI da empresa. A Sinqia encerrou o acesso a essas credenciais. “Ao detectar esse incidente, e agindo de acordo com seus protocolos de resposta, a Sinqia suspendeu o processamento de transações em seu ambiente Pix e começou a trabalhar com especialistas externos em cibersegurança. A empresa está trabalhando diligentemente para obter aprovação para retomar o processamento de transações no Sistema de Pagamentos Brasileiro (SPB) e no Pix.” Continua depois da publicidade Em relação ao destino das transferências, no caso da Sinqia, ao contrário do ataque via C&M, a maioria dos valores foi para contas em grandes bancos, um indicativo de que é necessário apertar as regras para todos, e não apenas para fintechs, explicam interlocutores. O que dizem as empresas afetadas No sábado, a Artta confirmou o ataque em nota e declarou que o incidente atingiu as contas que mantém diretamente no Banco Central para liquidação interbancária, sem impacto para os clientes. “Não houve ataque ao ambiente da Artta nem às contas de nossos clientes. As contas envolvidas são mantidas junto ao Banco Central e utilizadas exclusivamente para liquidação interbancária”, afirmou a instituição. Continua depois da publicidade O HSBC, por sua vez, informou que identificou transações financeiras via Pix em uma conta de um provedor do banco. Acrescentou que a operação não afetou contas de clientes ou fundos, pois o impacto ocorreu exclusivamente no sistema do provedor. “O banco esclarece ainda que medidas foram tomadas para bloquear essas transações no ambiente do provedor. O HSBC reafirma o compromisso com a segurança de dados e está à disposição das autoridades para colaborar com as investigações”, disse em nota. O ataque ocorreu pouco tempo depois de outra ação de grandes proporções, registrada em julho, quando hackers desviaram quase R$ 1 bilhão explorando vulnerabilidades da C&M Software, outra provedora de serviços tecnológicos usada por bancos e corretoras. Na ocasião, valores que estavam em contas no Banco Central foram transferidos de forma irregular. Mecanismos de devolução Um dia antes do ataque, o Banco Central realizou alterações no Pix que aperfeiçoam, nos próximos meses, o mecanismo de segurança que permite a devolução de recursos para vítimas de fraudes, golpes ou coerção. A instituição lembra que, pelas regras atuais, a devolução dos recursos é feita apenas a partir da conta originalmente utilizada na fraude. Porém, observa que os fraudadores normalmente conseguem retirar rapidamente os recursos dessa conta e transferi-los para outras. “Assim, quando o cliente faz a reclamação, é comum que essa conta já não possua fundos para viabilizar a devolução”, explicou o Banco Central.