A tentativa de invadir o sistema da Caixa Econômica Federal em 12 de setembro foi mais um dos ataques planejados contra o PIX, que, desde sua criação em 2020, tem atraído a atenção de criminosos em busca de brechas de segurança. Nos últimos dois meses, hackers movimentaram mais de R$ 1,2 bilhão de instituições financeiras. No caso específico da Caixa, a Polícia Federal (PF) prendeu oito pessoas em flagrante e apreendeu um computador roubado do banco, indicando que o grupo pode estar envolvido em fraudes anteriores.
De acordo com a PF, os criminosos obtiveram um notebook e uma credencial de acesso através de um gerente de uma agência da Caixa no bairro do Brás, em São Paulo. O banco já havia alertado sobre o roubo do dispositivo, conforme reportagem publicada pela Folha de S.Paulo e confirmada pelo g1. O método empregado foi similar aos ataques sofridos pela C&M Software e pela Sinqia, onde os bandidos acessaram senhas e sistemas internos para retirar valores das contas reservas das empresas, utilizadas para processar movimentações financeiras. Importante ressaltar que não houve ataques à estrutura do Banco Central nem roubo de dinheiro de contas de clientes dos bancos.
Especialistas ouvidos pelo g1 afirmam que a repetição dos ataques deve-se ao crescimento do PIX, que se tornou um alvo mais visado por criminosos. Além disso, a falta de padrões de segurança mais elevados para todas as instituições participantes do sistema, além dos bancos mais conhecidos, contribui para essa vulnerabilidade. A C&M Software e a Sinqia são dois dos seis intermediários que conectam instituições financeiras ao Banco Central, conhecidos como Provedores de Serviços de Tecnologia da Informação (PSTI). Esses intermediários se tornaram alvos atrativos, uma vez que muitos bancos dependem deles, criando um único ponto de falha.
Nathália Carmo, sócia da consultoria de segurança cibernética IAM Brasil, afirma que o monitoramento sobre esses intermediários precisa ser intensificado. Ela ressalta que a responsabilidade pela segurança deve recair sobre o intermediário, e não sobre os bancos.
Após os ataques, o Banco Central decidiu acelerar a obrigatoriedade de autorização para todas as instituições de pagamento, antecipando o prazo de dezembro de 2029 para maio de 2026. Embora uma instituição não autorizada ainda possa operar, ela não cumpre todas as normas do Banco Central. Dos 936 participantes do PIX, 78 não possuem autorização expressa do órgão, conforme dados publicados pelo Banco Central em 17 de setembro.
A expectativa é que a exigência de autorização propicie um controle mais rigoroso sobre os padrões de segurança das empresas. Abdul Assal, diretor de desenvolvimento de negócios da empresa de tecnologia financeira Galileo, explica que instituições autorizadas têm mais obrigações e precisam aprimorar suas políticas de segurança e combate à lavagem de dinheiro.
Além das novas regras, Rocelo Lopes, CEO da empresa de compra e venda de criptomoedas SmartPay, defende a implementação de filtros mais eficazes contra movimentações suspeitas por meio de inteligência artificial, permitindo que os bancos investiguem quem são os detentores das contas antes de realizar transações.
Geraldo Guazzelli, diretor-geral da Netscout, enfatiza a necessidade de um aumento no nível de maturidade do setor financeiro, que, apesar de ser o mais protegido, enfrenta desafios com o crescimento do número de instituições. Ele alerta para a fragilidade causada pelo uso de credenciais legítimas obtidas através de roubo ou compra, lembrando que a segurança depende de uma combinação de fatores.
Crédito da imagem: g1. Fonte: https://g1.globo.com/
