Na tarde de sexta-feira, a Sinqia, empresa responsável por conectar bancos ao sistema Pix, foi alvo de um ataque hacker que resultou no desvio de R$ 670 milhões. Segundo fontes, o valor é superior ao inicialmente estimado. Do total, R$ 630 milhões pertenciam ao HSBC e R$ 40 milhões à Sociedade de Crédito Direto Artta.

• Participe dos nossos canais no Twitter, Telegram ou Whatsapp!
• Confira nossos stories no Instagram e veja notícias como essa!
• Siga o tecflow no Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui ou apoie o tecflow clicando neste link
• Assine nossa newsletter neste link.

Os criminosos chegaram a tentar movimentar mais de R$ 1 bilhão, mas parte das operações foi barrada pelo Banco Central (BC). O episódio ocorre exatamente dois meses após a fraude na C&M Software, também ligada ao sistema de pagamentos instantâneos, que registrou desvio superior a R$ 800 milhões.

Recuperação parcial

Até o momento, R$ 366 milhões foram bloqueados. A Polícia Federal conduz as investigações, enquanto equipes seguem mobilizadas para recuperar o restante dos valores. A Sinqia, por sua vez, segue sem acesso ao ambiente Pix.

Em nota, a empresa informou que investiga o caso e trabalha para reconstruir os sistemas em um novo ambiente, com controles reforçados e monitoramento contínuo. A retomada das operações dependerá de aprovação do Banco Central.

Bancos e fintechs minimizam impacto

O HSBC declarou que o ataque envolveu uma conta de um provedor ligado ao banco, mas que nenhuma conta de clientes foi afetada. O banco disse ainda que bloqueou as transações suspeitas e reafirmou seu compromisso com a segurança de dados.

A Artta também confirmou o ataque, esclarecendo que o desvio ocorreu em contas mantidas diretamente no BC para liquidação interbancária, sem impacto para os clientes.

Brechas e desafios regulatórios

Especialistas destacam que a sucessão de ataques envolvendo provedores de tecnologia revela fragilidades que precisam ser enfrentadas pelo regulador.
Segundo o advogado Aylton Gonçalves, a concentração de apenas sete empresas atuando nesse mercado aumenta a dependência operacional de bancos e fintechs:

“É muito importante que a supervisão dessas empresas seja mais robusta. Além disso, é possível pensar na necessidade de que a regulação avance quanto à prevenção a fraudes e segurança cibernética”, afirmou.

O diretor executivo do Instituto de Tecnologia e Sociedade (ITS), Fabro Steibel, acrescenta que o volume diário de transações dificulta a detecção de anomalias:

“Em um dia, o país realiza 270 milhões de operações via Pix, com movimentação de R$ 130 bilhões. Mesmo ataques milionários podem passar despercebidos”.

Monitoramento precisa ser reforçado

Para o especialista em defesa cibernética Renato Cunha, o ataque à Sinqia segue o mesmo modus operandi do caso C&M, e o BC precisa ampliar o monitoramento interno:

“O Banco Central já conseguiu bloquear parte do desvio, mas é fundamental reforçar os mecanismos de prevenção”.

Já o especialista em inovação Arthur Igreja defende medidas mais rígidas por parte do BC:

“Quando o assunto é sistema financeiro, o principal atributo é segurança e credibilidade. É preciso ampliar exigências técnicas e penalidades para fornecedores de tecnologia”.

Estrutura do Banco Central sob pressão

Apesar do esforço, técnicos do BC reconhecem limitações. O quadro de servidores tem sido reduzido por aposentadorias e perda de profissionais para o setor privado, ao mesmo tempo em que crescem as atribuições do regulador.

Além disso, como o Pix funciona 24 horas por dia, não há previsão de pagamento de adicional noturno ou horas extras para servidores, o que fragiliza a supervisão contínua.

O que dizem os especialistas

• Cada instituição deveria, idealmente, ter acesso próprio ao sistema do BC, mas os custos são inviáveis para empresas menores.
• A rede de comunicação entre BC e instituições financeiras conta com criptografia avançada e certificados digitais, mas os provedores terceirizados acabam se tornando pontos vulneráveis.

Em nota, o HSBC respondeu por meio de sua assessoria:

Na última sexta-feira, 29 de agosto, o HSBC identificou transações financeiras via PIX em uma conta de um provedor do banco. Nenhuma conta de clientes ou fundos foi impactada, uma vez que as operações ocorreram exclusivamente no sistema desse provedor.

O banco esclarece ainda que medidas foram tomadas para bloquear essas transações no ambiente do provedor. O HSBC reafirma seu compromisso com a segurança dos dados e informa que está à disposição das autoridades para colaborar com as investigações.

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.