Roubo cibernético no Pix atinge R$ 710 milhões; maior parte barrada

O valor total desviado do Pix no recente ataque hacker à empresa de tecnologia Sinqia já alcança aproximadamente R$ 710 milhões, superando a estimativa inicial de R$ 420 milhões. Desse total, R$ 669 milhões foram retirados do HSBC e R$ 41 milhões da sociedade de crédito direto (SCD) Artta.

Do montante roubado, R$ 589 milhões foram bloqueados pelo Banco Central, representando 83% do total, conforme informações obtidas pelo Globo.

A fraude ocorreu na tarde de última sexta-feira no sistema da Sinqia, companhia tecnológica que conecta a rede do Banco Central às instituições bancárias e fintechs. Este foi o segundo grande caso de desvio financeiro em dois meses.

Há poucos meses, em junho, criminosos desviaram mais de R$ 800 milhões do Pix através da C&M Software, que atua no mesmo setor que a Sinqia.

Nos dois episódios, o sistema do Banco Central permaneceu seguro e os clientes das instituições financeiras não foram diretamente afetados, já que o ataque atingiu as contas usadas para liquidação bancária pelas próprias instituições.

Especialistas ouvidos sob sigilo ressaltam que o Banco Central deveria ter tomado medidas mais rigorosas para fechar vulnerabilidades exploradas por criminosos, tanto no Pix quanto em outros casos de infiltração para ocultar valores ilícitos.

O Banco Central planeja intensificar as medidas de segurança nos próximos meses, priorizando o fortalecimento da regulamentação apesar da limitação atual de autonomia. Novas regras deverão abranger tanto fintechs quanto bancos tradicionais, promovendo maior igualdade de obrigações e controles.

Uma das propostas em análise é estender o tempo de liquidação das transações Pix conforme o valor. Transferências de grandes quantias, na ordem de milhões, poderiam ter um prazo maior para análise, ao contrário do tempo atual de cerca de 10 segundos.

O incidente também evidenciou que as prestadoras de serviços tecnológicos parecem ser o ponto mais frágil do sistema, pois as ordens de transferência partiram das próprias empresas de tecnologia, não das instituições financeiras afetadas.

Há suspeitas de que essas prestadoras estejam acessando as chaves de transação, que deveriam ser exclusivas das instituições reguladas pelo Banco Central. O ideal seria que cada instituição tivesse sua conexão direta com o Banco Central, mas isso esbarra em limitações de custo.

Sinqia declarou que a investigação preliminar indica que as transações não autorizadas ocorreram pela exploração de credenciais legítimas de fornecedores de TI da empresa, e que o acesso a essas credenciais foi imediatamente bloqueado.

A empresa também informou que, ao detectar o ataque, suspendeu imediatamente o processamento das transações no ambiente Pix e está colaborando com especialistas externos em cibersegurança para restaurar o serviço.

Em relação às transferências, ao contrário do ataque anterior via C&M, a maioria dos valores desviados pela Sinqia foi para contas em bancos grandes, o que sugere a necessidade de endurecer regras para todas as instituições financeiras, e não apenas para fintechs.

A Artta confirmou o incidente, esclarecendo que o ataque atingiu apenas as contas que mantém directamente no Banco Central para liquidação interbancária e que os clientes não foram impactados.

O HSBC também afirmou que tomou medidas para bloquear as transações fraudulentas em seu ambiente e reafirmou seu compromisso com a segurança dos dados, além de colaborar com as investigações.

Antes deste ataque, em julho, hackers haviam desviado quase R$ 1 bilhão explorando vulnerabilidades da C&M Software, em operações que também usaram contas no Banco Central para transferências irregulares.

Mecanismos de devolução

Recentemente, o Banco Central implementou melhorias no Pix para aprimorar, nos próximos meses, os mecanismos que permitem a devolução de valores às vítimas de fraudes, golpes ou coercão.

Atualmente, a devolução só é possível a partir da conta originalmente usada na fraude, mas os criminosos normalmente transferem rapidamente os recursos para outras contas, dificultando a recuperação.

Assim, quando o cliente reporta a fraude, é comum que a conta inicial não tenha mais fundos para reverter o prejuízo, o que dificulta a restituição dos valores roubados, explica o Banco Central.