A Polícia Federal (PF) prendeu oito pessoas em flagrante por tentativa de ataque hacker à Caixa Econômica Federal no dia 12 de setembro. Mas essa, gente, não foi uma ação isolada! Nos últimos dois meses, olha só, hackers conseguiram desviar mais de R$ 1,2 bilhão de instituições financeiras. No caso da Caixa, por sorte, o plano não deu certo. Além da prisão dos envolvidos, a PF apreendeu um notebook roubado do banco, e suspeita que esse grupo esteja por trás de outros golpes.
A investigação indica que o grupo conseguiu um notebook e uma credencial de acesso roubados de um gerente da Caixa no Brás, em São Paulo. A Folha de S.Paulo e o g1 confirmaram que o banco já havia avisado sobre o roubo do equipamento. A estratégia, aliás, foi semelhante aos ataques contra a C&M Software e a Sinqia: os criminosos usaram senhas e acessos internos para esvaziar as contas reservas dessas empresas, usadas para processar transações financeiras. Importante frisar: não houve ataque à estrutura do Banco Central, nem roubo direto de dinheiro das contas dos clientes.
Mas por que esses ataques estão se repetindo? Especialistas consultados pelo g1 apontam dois motivos principais. Primeiro, o crescimento explosivo do PIX desde 2020. Com a popularização do sistema, ele se tornou um alvo apetitoso para os criminosos, que buscam brechas de segurança. Segundo, ainda faltam padrões de segurança mais robustos para todos os participantes do PIX, indo além dos grandes bancos.
A C&M Software e a Sinqia, por exemplo, são dois dos seis Provedores de Serviços de Tecnologia da Informação (PSTI) que conectam instituições financeiras ao Banco Central. Esses PSTIs se tornaram alvos fáceis. “Quando muitas instituições dependem de um mesmo intermediário, ele vira um alvo gigante. É um risco enorme, um único ponto de falha”, explicou Nathália Carmo, sócia da IAM Brasil, consultoria de segurança cibernética. Os ataques exploraram o fato de que a C&M Software e a Sinqia já eram conhecidas nos sistemas dos bancos, facilitando as transações fraudulentas. Para Nathália, o monitoramento desses intermediários precisa ser reforçado. “A responsabilidade pela segurança da infraestrutura é do intermediário, não do banco”, ela reforça.
Após esses ataques devastadores, o Banco Central decidiu antecipar as novas regras para as instituições de pagamento. A obrigatoriedade de autorização para operar, que estava prevista para dezembro de 2029, agora é maio de 2026. Isso porque, segundo dados do próprio BC de 17 de setembro, dos 936 participantes do PIX, 78 não possuem autorização. Uma instituição sem autorização pode operar, mas não cumpre todas as regras do Banco Central.
A expectativa é que essa exigência de autorização melhore o controle sobre os padrões de segurança. “Quando uma instituição é autorizada e está sob a lupa do BC, ela tem mais obrigações e precisa melhorar suas políticas de segurança e de combate à lavagem de dinheiro”, afirma Abdul Assal, diretor da Galileo. Com o caso da C&M Software, o Banco Central quer “separar o joio do trigo”, mantendo apenas quem garante padrões mais altos. “A instituição passa por uma análise rigorosa, e a aprovação significa que ela cumpre todos os requisitos do BC”, completa Assal.
Mas o que mais pode ser feito? Além das novas regras, Rocelo Lopes, CEO da SmartPay, defende mais filtros contra movimentações suspeitas, usando até inteligência artificial. “Se o banco puder verificar quem é o dono da conta e suas atividades, pode bloquear a transação. Políticas para identificar essas situações são fundamentais”. Geraldo Guazzelli, diretor da Netscout, ressalta que, apesar da alta segurança do setor financeiro, a maturidade precisa aumentar com o crescimento do número de instituições. “A maior vulnerabilidade, apesar de todo o sistema, é o uso de credenciais legítimas obtidas por roubo ou compra”, afirma. “Mas a credencial sozinha não garante o sucesso. É preciso encontrar uma falha no sistema, uma combinação de fatores.”
Fonte da Matéria: g1.globo.com
