Seu PIX está seguro? Ataques a bancos aumentam; saiba o porquê

Em 12 de setembro, a tentativa de invasão ao sistema da Caixa Econômica Federal destacou a crescente vulnerabilidade do sistema financeiro brasileiro, especialmente em relação ao PIX. Nos últimos dois meses, os ataques cibernéticos orquestrados por hackers resultaram na movimentação irregular de mais de R$ 1,2 bilhão entre diversas instituições financeiras.

Embora o plano contra a Caixa não tenha se concretizado, a Polícia Federal (PF) agiu rapidamente, prendendo oito indivíduos envolvidos e apreendendo um computador que havia sido furtado da instituição. As investigações indicam que esse grupo criminoso pode estar vinculado a fraudes anteriores.

LEIA MAIS: Pagamento por aproximação já é usado por 70% dos brasileiros

A PF revelou que os suspeitos conseguiram acesso a um notebook e uma credencial de login por meio da colaboração de um gerente da agência da Caixa localizada no Brás, em São Paulo. O banco já havia alertado sobre o furto do dispositivo.

Os métodos utilizados pelos criminosos mostraram-se semelhantes aos empregados em ataques anteriores a empresas como C&M Software e Sinqia, onde os hackers acessaram senhas e sistemas internos para transferir valores das contas reservas utilizadas para processar transações financeiras. Importante ressaltar que, até o momento, não houve evidências de invasões ao Banco Central ou de saques indevidos nas contas dos clientes das instituições afetadas.

A C&M Software e a Sinqia são reconhecidas como Provedores de Serviços de Tecnologia da Informação (PSTI), responsáveis por intermediar a comunicação entre instituições financeiras e o Banco Central. De acordo com Nathália Carmo, sócia da consultoria IAM Brasil, a dependência excessiva em intermediários cria um ponto único de falha, tornando-os alvos atrativos para ataques cibernéticos.

Nathália enfatizou que os hackers exploraram a familiaridade das empresas com os sistemas bancários para realizar transações com barreiras mínimas. Ela também ressaltou a necessidade urgente de um monitoramento mais rigoroso sobre esses intermediários, já que é sua responsabilidade garantir a segurança das infraestruturas utilizadas.

Regulamentação Acelerada após as Invasões

Diante desse cenário alarmante, o Banco Central decidiu antecipar o prazo para que todas as instituições de pagamento obtenham autorização formal para operar. Em vez do prazo original de dezembro de 2029, agora será necessário regularizar até maio de 2026.

Atualmente, das 936 entidades participantes do sistema PIX, 78 ainda operam sem autorização expressa do Banco Central. A medida visa reforçar o controle sobre os padrões de segurança dessas empresas e assegurar que apenas as instituições aptas mantenham suas operações no sistema financeiro nacional.

Abdul Assal, diretor de desenvolvimento da fintech Galileo, comentou que as instituições autorizadas estarão sob vigilância constante do Banco Central e, consequentemente, terão obrigações adicionais que contribuirão para melhorar suas políticas de segurança e prevenção à lavagem de dinheiro.

Com o precedente estabelecido pelos incidentes envolvendo C&M Software e Sinqia, o Banco Central busca separar as instituições que atendem aos padrões exigidos daquelas que não possuem condições adequadas para operar no sistema financeiro.

Propostas para Aumentar a Segurança Financeira

Além das novas exigências regulatórias, especialistas defendem a implementação de filtros mais robustos para detectar movimentações suspeitas. Rocelo Lopes, CEO da SmartPay, sugeriu que o uso intensivo de inteligência artificial poderia permitir aos bancos investigar antecedentes dos titulares das contas antes de aprovar transações.

Lopes argumentou que estabelecer políticas rigorosas para identificar potenciais fraudes é essencial para fortalecer o sistema financeiro centralizado. Apesar do setor financeiro ser considerado um dos mais protegidos atualmente, Geraldo Guazzelli, diretor-geral da Netscout, alertou sobre a necessidade crescente de maturidade diante do aumento do número de instituições financeiras operando no Brasil.

Ele destacou que a maior vulnerabilidade reside no uso indevido de credenciais legítimas obtidas por meio de roubo ou compra. Para Guazzelli, garantir segurança vai além da proteção das credenciais; é fundamental encontrar uma combinação eficaz entre múltiplos fatores para prevenir ataques cibernéticos bem-sucedidos.