MT City News MT City News é o seu portal de notícias do Mato Grosso, trazendo informações atualizadas sobre política, economia, agronegócio, cultura e tudo o que acontece no estado. Com uma abordagem dinâmica e imparcial, buscamos levar a você as notícias mais relevantes com credibilidade e agilidade.
Uma sucessão de ataques hacker reacendeu a desconfiança em relação à segurança do sistema financeiro no Brasil. Em pelo menos dois deles, as contas de pagamento de instituições que conectam bancos ao sistema do Pix do Banco Central foram invadidas. Estima-se que perto de R$ 2 bilhões tenham sido desviados.
No início de julho, criminosos subtraíram quantia estimada em mais de R$ 1 bilhão. No fim de agosto, outros R$ 710 milhões foram roubados. Depois desses ataques, houve pelo menos mais dois em setembro, porém nenhum deles conseguiu desviar dinheiro relacionado ao Pix.
A sucessão de ataques levou o Banco Central a anunciar, na sexta-feira (5), uma série de medidas para fortalecer a segurança do sistema financeiro e do Pix. Dentre elas, um limite de R$ 15 mil para TEDs e Pix de instituições de pagamento que não tenham autorização do BC e para aquelas que se valem de prestadores de serviços de tecnologia da informação (PSTIs) para realizá-las.
O BC também estipulou o mínimo de R$ 15 milhões em caixa para credenciamento das prestadoras de serviço ao sistema e antecipou de dezembro de 2029 para maio de 2026 o prazo para que instituições de pagamento solicitem autorização, entre outras iniciativas (saiba mais aqui).
Especialistas ouvidos pela Gazeta do Povo antes do anúncio das medidas pelo BC avaliam que o sistema não ficou mais vulnerável com o passar do tempo, mas que brechas existentes foram percebidas por criminosos e não foram sanadas, estimulando novas tentativas de invasão.
Juan Ferrés, economista e sócio da Teros, uma plataforma de automação para empresas, afirma que existe uma fragilidade no processo de mensageria que conecta o Pix e que permite esses ataques. Segundo o empresário, ela se deve à forma como as instituições estruturam seus controles e mecanismos de autenticação.
“Não basta contar apenas com senha ou autenticação em dois fatores, é necessário adotar uma camada mais robusta de segurança, com VPNs dedicadas, criptografia de dados, assinaturas digitais e múltiplas etapas de validação que assegurem a integridade das movimentações, além da verificação de cobertura de saldos”, afirma.
Ele ainda explica que muitas transações, principalmente nos ajustes de contas, não precisam ser liquidadas de forma instantânea — as do Pix levam, em geral, dez segundos para serem efetuadas. Por essa razão, as instituições podem e devem definir cenários de uso para essas movimentações, de modo a facilitar a criação de processos mais segurose prevenir ataques.
“Os dois ataques recentes exploraram justamente essa brecha no Pix, onde os invasores identificaram que era possível atacar diretamente as contas de reserva e se aproveitaram dessa fragilidade”, disse.
Mesmo após o ataque, sistema permaneceu vulnerável
Para Pedro Magalhães, sócio da Pixley, uma fintech de pagamentos em criptomoedas, o ataque à C&M no início de julho revelou falhas persistentes – e depois dele o sistema não foi fortalecido.
Na visão do empreendedor, o segundo ataque, realizado no dia 29 de agosto contra a Sinqia, provavelmente seguiu o mesmo padrão do anterior, aproveitando a brecha no sistema do Pix.
A repetição, afirma ele, não só demonstra que as vulnerabilidades não foram sanadas, mas também que há, possivelmente, outros ataques já planejados em paralelo.
Duas fintechs de crédito foram alvo de ataques ao sistema Pix
No intervalo de três dias, duas fintechs foram alvos de ataques contra o sistema Pix. Na terça-feira (2), o mercado foi alertado sobre ataque contra a Monetarie. Ao todo, teriam sido desviados R$ 4,9 milhões, dos quais R$ 4,7 milhões foram recuperados no mesmo dia.
Primeiramente, os criminosos teriam tentado se valer da mesma brecha no sistema do Pix. Ao terem o acesso bloqueado, a estratégia foi migrar para o sistema de mensageria de transferências TED, onde conseguiram realizar os desvios.
Prontamente, o mercado recebeu um alerta para bloquear transferências originadas na Monetarie, reforçar o monitoramento contínuo de todas as transações financeiras e aumentar o nível de autenticação e vigilância em todos os sistemas de pagamento.
Na quinta-feira (4), criminosos miraram novamente o sistema Pix de uma fintech, cujo nome não foi revelado. Mesmo que não tenha havido desvio de recursos ou roubo de dados, o ataque suspendeu a geração de query code do Pix pela empresa-alvo.
Identificar os criminosos para coibir novos ataques ao Pix
Segundo Pedro Magalhães, da Pixley, a identificação e a punição dos hackers responsáveis pelos desvios são fundamentais para a prevenção de novos ataques. “Eles raramente são descobertos, o que potencializa a recompensa”, afirma.
Ele ainda avalia que, de fato, há uma certa negligência por parte das empresas que realizam esse tipo de conexão, desde a falta de controle de acesso com maior índice de segurança até o uso de melhores práticas de custódia de chaves digitais.
VEJA TAMBÉM:
Falta de regulação não é o problema
Na visão de Juan Ferrés, da Teros, a questão não é a falta de regulação. Ele explica que há a necessidade de ajustes no modelo atual, já que o Banco Central, ao longo do tempo, criou diversas figuras regulatórias com usos muito fragmentados.
“Isso reduziu as barreiras de entrada, o que foi positivo para estimular inovação e competitividade, mas também abriu espaço para agentes pouco preparados e, em alguns casos, mal-intencionados atuarem no sistema”, avalia.
Na opinião do empresário, a solução passa pela exigência de padrões mínimos mais robustos. Ele entende que a fragmentação excessiva do sistema, em que muitas instituições de pagamento (IPs), algumas inclusive não reguladas, atuam como custodiante de recursos, não é sustentável.
Open Finance já opera em ambiente mais seguro
Ferrés afirma que os ajustes técnicos necessários não são muito sofisticados. Ele cita, por exemplo, o que já ocorre no ambiente do Open Finance, que opera com padrões mais robustos que os utilizados atualmente na mensageria de contas de reserva.
O Open Finance, também chamado de Sistema Financeiro Aberto, é iniciativa do Banco Central que permite o compartilhamento dos dados financeiros de um cliente entre diferentes instituições.
Segundo Ferrés, o Open Finance requer um ambiente mais aberto e interoperável, o que demanda uma escala mínima e padrões de segurança consolidados, bem como o incentivo à consolidação das instituições de pagamento.
O modelo dispõe, por exemplo, de um Ponto Central de Mensageria (PCM), que acompanha em tempo real as transações, verificando remetente e destinatário. “Esse modelo possibilita travas centralizadas e garante maior visibilidade do fluxo, reduzindo consideravelmente os riscos de ataque”, afirma.
