Ataques cibernéticos no Pix e no sistema financeiro expõem falha estratégica: especialistas dão dicas de proteção

O noticiário recente tem chamado atenção para uma sequência de ataques cibernéticos que atingiu instituições financeiras e firmas de tecnologia da informação (TI) no Brasil, envolvendo especialmente o Sistema de Pagamentos Brasileiro (SPB) e o Pix. Essas incursões reacendem questionamentos sobre a proteção oferecida pelas companhias e até que ponto pode chegar a confiança dos seus clientes. A percepção é de que os incidentes têm ocorrido por conta de vulnerabilidades em firmas menores que atuam como ponte para o sistema monetário nacional.

Entre os casos registrados, destaca-se o da Sinqia Digital, que informou que o valor total desviado de instituições financeiras no ambiente Pix soma R$ 710 milhões, sendo parte já recuperada – inicialmente, as autoridades conseguiram assegurar R$ 366 milhões. O ataque, ocorrido em 29 de agosto, atingiu o HSBC Brasil e a Artta, sociedade de crédito.

As transações irregulares foram realizadas com credenciais legítimas de fornecedores de tecnologia da informação cujo acesso, diz a firma, foi imediatamente encerrado. A Sinqia diz que não há indícios de comprometimento de dados pessoais e contratou especialistas em cibersegurança para investigar o incidente.

• Hacker do pix: como manter seu dinheiro livre de golpes e fraudes?
• Galípolo: BC tem apoio unânime do setor monetário para combater crime organizado

A C&M Software, firma que integra bancos e outras instituições ao SPB desde 2002, também foi afetada. A companhia desenvolve soluções de infraestrutura e software e atua como intermediária entre o sistema e instituições que não se conectam diretamente, como bancos menores.

De acordo com a firma, os recursos desviados, que podem ter chegado a R$ 1 bilhão, não afetaram clientes diretamente, mas atingiram contas reservas mantidas junto ao Banco Central (BC), utilizadas para liquidar operações interbancárias, como Pix, transferências eletrônicas disponíveis (TED) e boletos.

No mesmo período, a fintech gaúcha Monbank, nome fantasia da Monetarie, sofreu um ataque que desviou R$ 4,9 milhões de sua conta reserva. Diferentemente dos casos da C&M e da Sinqia, os criminosos miraram o sistema de TED para não clientes, embora tenham tentado acessar o ambiente Pix sem sucesso, sendo bloqueados pelo BC.

Esse episódio marcou o terceiro ataque cibernético de grande repercussão em dois meses no setor monetário brasileiro, envolvendo tanto provedores de serviços de tecnologia da informação (PSTIs) quanto contas de reserva bancária mantidas no BC.

• Leia mais: 6 dicas inteligentes para proteger seus dados e seu dinheiro

Como os hackers invadem o sistema monetário?

Especialistas consultados pelo E-Investidor explicam que os hackers exploram falhas em sistemas desatualizados, senhas fracas ou ataques de phishing (mensagens falsas que enganam pessoas para roubar dados) contra funcionários. Entre as vulnerabilidades mais comuns estão APIs (canais de comunicação entre sistemas) mal configuradas, senhas de chefes deixadas sem proteção, programas antigos sem correção de segurança e falhas no processo de login.

Ataques como ransomware (quando criminosos bloqueiam os dados e pedem dinheiro para liberar)  e engenharia social (truques para manipular pessoas) se tornam cada vez mais frequentes. As firmas são orientadas a adotar autenticação multifator resistente a phishing, criptografia ponta a ponta, políticas de acesso mínimo, testes de invasão periódicos, monitoramento contínuo de atividades, simulações de resposta a incidentes e governança de inteligência artificial (IA), incluindo controle de modelos e conectores.

• Carbono Oculto expõe brechas no setor monetário; veja como fundos foram usados em fraudes e o que o investidor deve fazer agora

Segundo especialistas, do ponto de vista jurídico, cumprir a Lei Geral de Proteção de Dados Pessoais (LGPD) e as normas do Banco Central é obrigatório. A LGPD exige medidas técnicas e administrativas para proteger dados pessoais contra acessos não autorizados, sob pena de responsabilização civil, administrativa e criminal. firmas que não mantêm programas de governança em segurança e privacidade podem ser alvo de sanções e indenizações.

Por que hackers estão mirando o Pix?

A expansão digital das operações e o aumento de transações instantâneas, como as realizadas pelo Pix, tornaram o ambiente mais atrativo para criminosos, muitos com atuação internacional. Além disso, o uso de soluções terceirizadas por bancos digitais e fintechs expôs falhas em pontos de integração entre sistemas.

• Pix e Drex: quais as diferenças entre eles?

Daniela Poli Vlavianos, advogada do escritório Arman Advocacia, afirma que pequenas firmas, como provedores de software e startups do setor monetário, geralmente não seguem padrões de segurança tão rigorosos quanto os grandes bancos, transformando-se em portas de entrada para invasões que podem se espalhar pelo ecossistema.

Nos últimos anos, o ecossistema monetário brasileiro ganhou novos participantes, incluindo provedores terceirizados que se conectam a bancos e fintechs, enquanto iniciativas como o Open Finance avançam e o Pix por aproximação entrou na agenda regulatória.

O aumento de dinheiro e dados circulando nesses ambientes conectados, segundo Jeff Patzlaff, planejador monetário e especialista em investimentos, atrai grupos especializados, que preferem explorar os elos mais frágeis da cadeia, como fornecedores, integradores e softwares de mercado, antes de escalar o ataque dentro do sistema.

• Quatro anos de Open Finance no Brasil: o que esperar para o futuro?

Ao mesmo tempo, diz Patzlaff, o crime digital se tornou mais profissional e rápido, com o uso de inteligência artificial generativa para fraudes, phishing e engenharia social, concentrando esforços em ataques à cadeia de fornecedores.

Imaturidade na supervisão compromete leis e resoluções do País

O arcabouço regulatório brasileiro evoluiu nos últimos anos, de acordo com Thomaz Côrte Real, sócio da M.A. Santos Côrte Real Advogados, com normas como a Resolução do Banco Central do Brasil (BCB) nº 85/2021, sobre segurança cibernética e continuidade de negócios, e as diretrizes da Comissão de Valores Mobiliários (CVM) sobre gestão de riscos operacionais (Resolução 53/2021).

No entanto, ele aponta que os ataques recentes mostram que a eficácia da supervisão depende da maturidade de implementação pelas instituições, especialmente as de menor porte, onde brechas ainda são exploradas por criminosos.

• Confira também: Fundos de investimentos passam a seguir novas regras da CVM

“Seria desejável avançar na integração regulatória com a Autoridade Nacional de Proteção de Dados (ANPD), com foco na proteção de dados pessoais sensíveis e compartilhamento de informações entre autoridades, inclusive por meio de estruturas como os Isacs, que são organizações setoriais que partilham informações sobre ameaças cibernéticas e físicas, que visam reduzir o tempo médio de detecção e resposta a ameaças e melhorar a resiliência da infraestrutura crítica”, afirma Real.

A sigla em inglês Isacs se refere aos Centros de Análise e Compartilhamento de Informações e Análises, em tradução livre.

Proteção contra ataques cibernéticos: o que especialistas recomendam

Em ataques cibernéticos a provedores de serviços monetários, o saldo dos clientes normalmente não se perde, segundo Leo Rosenbaum, advogado especializado em direito do consumidor e sócio do Rosenbaum Advogados.

Indisponibilidades temporárias em serviços como login, transferências e pagamento de boletos são mais frequentes. Quando há vazamento de dados, cresce o risco de fraudes por meio de engenharia social.

Quando o problema atinge a liquidação de pagamentos, o BC pode determinar paradas controladas e acompanhar a situação até que padrões mínimos de segurança sejam restabelecidos.

Para clientes com aplicações, existe ainda a rede de proteção do Fundo Garantidor de Créditos (FGC), que cobre até R$ 250 mil por CPF e por instituição em produtos como Certificado de Depósito Bancário (CDB), Letra de Crédito Imobiliário e do Agronegócio (LCI/LCA) e poupança. A garantia não se estende a fundos de investimento, ações ou criptomoedas.

• Jovens da geração Z preferem consórcio ao financiamento tradicional: conheça a estratégia para comprar carro e casa e fugir dos juros

“Se você é cliente, troque senhas imediatamente, monitore suas contas e notifique a firma. Como acionista, cobre transparência sobre o impacto do ataque cibernético. Juridicamente, é possível buscar reparação por danos se a firma foi negligente na proteção, com base no Código de Defesa do Consumidor. Aja rápido e, se necessário, consulte um advogado”, orienta Rosenbaum.