Ataques cibernéticos no Pix e no sistema financeiro expõem falha estratégica: especialistas dão dicas de proteção
Hackers fazem bancos, fintechs e provedores de TI no Brasil alvos de golpes que chegam a R$ 1 bilhão; imaturidade de supervisão compromete leis e regras de segurança
Hackers se utilizam de padrões de segurança pouco rigorosos de fintechs e pequenas impresas ligadas ao sistema financeiro para realizar ataques cibernéticos. (Imagem: Bruno em Adobe Stock)
O noticiário recente tem chamado atenção para uma sequência de ataques cibernéticos que atingiu instituições financeiras e empresas de tecnologia da informação (TI) no Brasil, envolvendo especialmente o Sistema de Pagamentos Brasileiro (SPB) e o Pix. Essas incursões reacendem questionamentos sobre a proteção oferecida pelas companhias e até que ponto pode chegar a confiança dos seus clientes. A percepção é de que os incidentes têm ocorrido por conta de vulnerabilidades em empresas menores que atuam como ponte para o sistema financeiro nacional.
Entre os casos registrados, destaca-se o da Sinqia Digital, que informou que o valor total desviado de instituições financeiras no ambiente Pix soma R$ 710 milhões, sendo parte já recuperada – inicialmente, as autoridades conseguiram assegurar R$ 366 milhões. O ataque, ocorrido em 29 de agosto, atingiu o HSBC Brasil e a Artta, sociedade de crédito.
As transações irregulares foram realizadas com credenciais legítimas de fornecedores de tecnologia da informação cujo acesso, diz a empresa, foi imediatamente encerrado. A Sinqia diz que não há indícios de comprometimento de dados pessoais e contratou especialistas em cibersegurança para investigar o incidente.
A C&M Software, empresa que integra bancos e outras instituições ao SPB desde 2002, também foi afetada. A companhia desenvolve soluções de infraestrutura e software e atua como intermediária entre o sistema e instituições que não se conectam diretamente, como bancos menores.
De acordo com a empresa, os recursos desviados, que podem ter chegado a R$ 1 bilhão, não afetaram clientes diretamente, mas atingiram contas reservas mantidas junto aoBanco Central (BC), utilizadas para liquidar operações interbancárias, como Pix, transferências eletrônicas disponíveis (TED) e boletos.
No mesmo período, a fintech gaúcha Monbank, nome fantasia da Monetarie, sofreu um ataque que desviou R$ 4,9 milhões de sua conta reserva. Diferentemente dos casos da C&M e da Sinqia, os criminosos miraram o sistema de TED para não clientes, embora tenham tentado acessar o ambiente Pix sem sucesso, sendo bloqueados pelo BC.
Esse episódio marcou o terceiro ataque cibernético de grande repercussão em dois meses no setor financeiro brasileiro, envolvendo tanto provedores de serviços de tecnologia da informação (PSTIs) quanto contas de reserva bancária mantidas no BC.
Especialistas consultados pelo E-Investidor explicam que os hackers exploram falhas em sistemas desatualizados, senhas fracas ou ataques de phishing (mensagens falsas que enganam pessoas para roubar dados) contra funcionários. Entre as vulnerabilidades mais comuns estão APIs (canais de comunicação entre sistemas) mal configuradas, senhas de chefes deixadas sem proteção, programas antigos sem correção de segurança e falhas no processo de login.
Ataques como ransomware (quando criminosos bloqueiam os dados e pedem dinheiro para liberar) e engenharia social (truques para manipular pessoas) se tornam cada vez mais frequentes. As empresas são orientadas a adotar autenticação multifator resistente a phishing, criptografia ponta a ponta, políticas de acesso mínimo, testes de invasão periódicos, monitoramento contínuo de atividades, simulações de resposta a incidentes e governança de inteligência artificial (IA), incluindo controle de modelos e conectores.
Segundo especialistas, do ponto de vista jurídico, cumprir a Lei Geral de Proteção de Dados Pessoais (LGPD) e as normas do Banco Central é obrigatório. A LGPD exige medidas técnicas e administrativas para proteger dados pessoais contra acessos não autorizados, sob pena de responsabilização civil, administrativa e criminal. Empresas que não mantêm programas de governança em segurança e privacidade podem ser alvo de sanções e indenizações.
Por que hackers estão mirando o Pix?
O Pix está entre os principais meios de pagamento dos brasileiros. (Foto: Adobe Stock)
A expansão digital das operações e o aumento de transações instantâneas, como as realizadas pelo Pix, tornaram o ambiente mais atrativo para criminosos, muitos com atuação internacional. Além disso, o uso de soluções terceirizadas por bancos digitais e fintechs expôs falhas em pontos de integração entre sistemas.
Daniela Poli Vlavianos, advogada do escritório Arman Advocacia, afirma que pequenas empresas, como provedores de software e startups do setor financeiro, geralmente não seguem padrões de segurança tão rigorosos quanto os grandes bancos, transformando-se em portas de entrada para invasões que podem se espalhar pelo ecossistema.
“A criminalidade organizada percebeu que atacar essas empresas, menos protegidas do que os grandes bancos, permite acesso indireto a informações sensíveis e a interconexões críticas. Trata-se de um fenômeno de risco sistêmico: a vulnerabilidade de um elo menor compromete a cadeia financeira como um todo“, observa.
Nos últimos anos, o ecossistema financeiro brasileiro ganhou novos participantes, incluindo provedores terceirizados que se conectam a bancos e fintechs, enquanto iniciativas como o Open Finance avançam e o Pix por aproximação entrou na agenda regulatória.
Publicidade
O aumento de dinheiro e dados circulando nesses ambientes conectados, segundo Jeff Patzlaff, planejador financeiro e especialista em investimentos, atrai grupos especializados, que preferem explorar os elos mais frágeis da cadeia, como fornecedores, integradores e softwares de mercado, antes de escalar o ataque dentro do sistema.
Ao mesmo tempo, diz Patzlaff, o crime digital se tornou mais profissional e rápido, com o uso de inteligência artificial generativa para fraudes, phishing e engenharia social, concentrando esforços em ataques à cadeia de fornecedores.
Imaturidade na supervisão compromete leis e resoluções do País
O arcabouço regulatório brasileiro evoluiu nos últimos anos, de acordo com Thomaz Côrte Real, sócio da M.A. Santos Côrte Real Advogados, com normas como a Resolução do Banco Central do Brasil (BCB) nº 85/2021, sobre segurança cibernética e continuidade de negócios, e as diretrizes da Comissão de Valores Mobiliários (CVM) sobre gestão de riscos operacionais (Resolução 53/2021).
No entanto, ele aponta que os ataques recentes mostram que a eficácia da supervisão depende da maturidade de implementação pelas instituições, especialmente as de menor porte, onde brechas ainda são exploradas por criminosos.
“Seria desejável avançar na integração regulatória com a Autoridade Nacional de Proteção de Dados (ANPD), com foco na proteção de dados pessoais sensíveis e compartilhamento de informações entre autoridades, inclusive por meio de estruturas como os Isacs, que são organizações setoriais que partilham informações sobre ameaças cibernéticas e físicas, que visam reduzir o tempo médio de detecção e resposta a ameaças e melhorar a resiliência da infraestrutura crítica”, afirma Real.
A sigla em inglês Isacs se refere aos Centros de Análise e Compartilhamento de Informações e Análises, em tradução livre.
Proteção contra ataques cibernéticos: o que especialistas recomendam
Em ataques cibernéticos a provedores de serviços financeiros, o saldo dos clientes normalmente não se perde, segundo Leo Rosenbaum, advogado especializado em direito do consumidor e sócio do Rosenbaum Advogados.
O crime digital se tornou mais profissional e rápido com o uso de inteligência artificial generativa nos golpes e nas fraudes. (Imagem: Who is Danny em Adobe Stock)
Indisponibilidades temporárias em serviços como login, transferências e pagamento de boletos são mais frequentes. Quando há vazamento de dados, cresce o risco de fraudes por meio de engenharia social.
“O maior risco está no uso indevido de dados vazados, que pode levar a fraudes. Sempre oriento a monitorar movimentações e agir rápido em caso de irregularidades“, diz.
Quando o problema atinge a liquidação de pagamentos, o BC pode determinar paradas controladas e acompanhar a situação até que padrões mínimos de segurança sejam restabelecidos.
Para clientes com aplicações, existe ainda a rede de proteção do Fundo Garantidor de Créditos (FGC), que cobre até R$ 250 mil por CPF e por instituição em produtos como Certificado de Depósito Bancário (CDB), Letra de Crédito Imobiliário e do Agronegócio (LCI/LCA) e poupança. A garantia não se estende a fundos de investimento, ações ou criptomoedas.
“Se você é cliente, troque senhas imediatamente, monitore suas contas e notifique a empresa. Como acionista, cobre transparência sobre o impacto do ataque cibernético. Juridicamente, é possível buscar reparação por danos se a empresa foi negligente na proteção, com base no Código de Defesa do Consumidor. Aja rápido e, se necessário, consulte um advogado”, orienta Rosenbaum.
