Falhas em segurança possibilitam desvio de R$ 1 bilhão em ataque hacker

Um ataque hacker recente resultou no roubo de cerca de R$ 1 bilhão do sistema Pix, explorando falhas na certificação digital e no acesso a sistemas de instituições financeiras. O Banco Central (BC) enfrenta pressão para aumentar a fiscalização após o incidente.

Especialistas em cibersegurança apontam que a certificação digital da BMP, uma das instituições afetadas, estava sob controle da provedora de serviços de tecnologia C&M, que sofreu o ataque. Isso permitiu que a C&M controlasse as comunicações da BMP com o BC, criando um cenário de vulnerabilidade. A BMP não foi notificada sobre as transações fraudulentas, que foram iniciadas pela C&M. O fundador da BMP, Carlos Benitez, só tomou conhecimento do roubo após ser contatado por um banco às 4h do dia 30 de outubro.

Outro ponto crítico foi o acesso privilegiado que um ex-técnico de TI da C&M, preso por envolvimento no crime, tinha aos sistemas. As investigações ainda não esclareceram se esse acesso foi concedido desde o início ou se foi manipulado durante o período em que o funcionário recebeu instruções da quadrilha.

Falhas na Fiscalização

A fiscalização do BC sobre as instituições que operam no sistema Pix é considerada insuficiente. Durante um encontro com a Frente Parlamentar do Empreendedorismo, o presidente do BC, Gabriel Galípolo, mencionou o ataque para justificar a necessidade de uma Proposta de Emenda à Constituição (PEC) que conceda maior autonomia ao BC. Ele destacou que, apesar do ataque, os sistemas internos do BC permaneceram intactos.

Carlos Sangiorgio, vice-presidente de tecnologia da Sinqia, ressaltou que o BC monitora as fornecedoras de tecnologia à distância, mas a operação interna das instituições não é fiscalizada ativamente. A única anomalia que poderia ter sido detectada seria o volume de transações fora do horário comercial, mas o BC só foi alertado após a BMP comunicar o incidente.

Expectativas de Mudanças

Após o ataque, o setor financeiro espera um endurecimento nas regras e na fiscalização do BC. A diretora de produtos da Stark Bank, Auziane Moraes, acredita que uma avaliação mais rigorosa será implementada para evitar novas falhas. O BC já entrou em contato com as PSTIs homologadas para garantir que incidentes semelhantes não se repitam.

Atualmente, existem 934 participantes ativos no sistema Pix, incluindo bancos e fintechs, sendo que 77% deles dependem de provedores de tecnologia para operar. O BC discute novas regras para reforçar a segurança das instituições que atuam como BaaS (Banking as a Service), especialmente após o ataque à C&M. A expectativa é que medidas rigorosas sejam adotadas para proteger o sistema financeiro e os cidadãos.