Crescimento do PIX e falhas de segurança: por que ataques a bancos têm se repetido?
A tentativa de invadir o sistema da Caixa Econômica Federal em 12 de setembro foi apenas mais um dos ataques planejados contra o PIX. Nos últimos dois meses, hackers conseguiram movimentar mais de R$ 1,2 bilhão de instituições financeiras.
No caso do ataque à Caixa, o plano não foi concretizado. A Polícia Federal (PF) prendeu oito pessoas em flagrante, apreendeu um computador roubado do banco e disse que o grupo pode estar envolvido com as fraudes anteriores.
A PF afirmou que o grupo conseguiu um notebook e uma credencial de acesso por meio do gerente de uma agência da Caixa no bairro do Brás, na cidade de São Paulo.
O inquérito também indica que o banco alertou sobre a roubo do dispositivo. A informação foi publicada pela Folha de S.Paulo e confirmada pelo g1.
O método foi parecido com os ataques contra a C&M Software e a Sinqia: bandidos acessaram senhas e sistemas internos para retirar valores das contas reservas das empresas, usadas para processar movimentações financeiras.
Não houve ataque hacker à estrutura do Banco Central nem roubo de dinheiro de contas de clientes dos bancos.
Especialistas ouvidos pelo g1 apontam que os ataques têm se repetido porque:
- o PIX cresceu muito desde sua criação em 2020 e se tornou mais visado por criminosos que buscam brechas de segurança em sistemas;
- faltam padrões de segurança mais elevados para todos os integrantes do PIX, além dos bancos mais conhecidos.
A C&M Software e a Sinqia estão entre os seis intermediários que ligam instituições financeiras ao Banco Central. São os chamados Provedores de Serviços de Tecnologia da Informação (PSTI), que viraram alvo dos hackers.
“Quando muitas instituições dependem de um mesmo intermediário, ele se torna um alvo atrativo. A concentração se torna um risco iminente. Há um único ponto de falha”, explicou Nathália Carmo, sócia da consultoria de segurança cibernética IAM Brasil.
Os ataques aproveitaram que a C&M Software e a Sinqia eram conhecidas dos sistemas dos bancos para fazer transações sem muitas barreiras, disse Nathália. Para ela, o monitoramento sobre esses intermediários precisa aumentar.
“Quem deveria manter essa infraestrutura em conformidade é o intermediário. Ele precisa manter a segurança. É algo que foge da responsabilidade do banco”, afirmou.
Novas regras após ataques
Após os ataques, o Banco Central decidiu antecipar o prazo para todas as instituições de pagamento serem obrigadas a pedir autorização para continuarem operando. Em vez de dezembro de 2029, o limite agora é maio de 2026.
Uma instituição de pagamento não autorizada consegue operar, mas não segue todas as regras do Banco Central. Dos 936 participantes do PIX, 78 não têm autorização expressa do Banco Central, segundo dados publicados pelo próprio órgão em 17 de setembro.
A expectativa é que, com a exigência da autorização, haja mais controle sobre padrões de segurança das empresas.
“Quando uma instituição é autorizada e está na lupa do BC diariamente, ela tem mais obrigações e precisa melhorar suas políticas de segurança e contra lavagem de dinheiro”, explicou Abdul Assal, diretor de desenvolvimento de negócios da empresa de tecnologia financeira Galileo.
Com o precedente criado após o caso da C&M Software, o Banco Central quer agora “separar o joio do trigo” e manter no sistema financeiro apenas quem tem condições de manter padrões mais elevados, avaliou Assal.
“A instituição vai passar por um batalhão de análise e, caso seja aprovada, significa que ela realmente está aderente a todas aqueles requerimentos do BC”.
O que mais pode ser feito?
Além das novas regras para instituições financeiras, é preciso haver mais filtros contra movimentações suspeitas, incluindo com uso de inteligência artificial, alertou Rocelo Lopes, CEO da empresa de compra e venda de criptomoedas SmartPay.
“Se o banco puder pesquisar quem é o detentor da conta e no que ele está envolvido, ele poderá decidir segurar a transação. Criar políticas para poder identificar esse tipo de coisa seria o melhor caminho para o sistema centralizado”.
O segmento financeiro é o mais protegido, mas, com mais instituições a cada dia, precisa aumentar seu nível de maturidade, avaliou o diretor-geral da Netscout, Geraldo Guazzelli.
“A maior fragilidade hoje, apesar de todo o ambiente, é o uso de credenciais legítimas obtidas com o roubo ou a compra”, afirmou. “Mas a credencial por si não é algo que vai garantir o sucesso. Tem que ser encontrada uma falha. É uma associação de fatores”.