A tentativa de invasão ao sistema da Caixa Econômica Federal em 12 de setembro é o mais recente episódio de uma série de ataques a instituições financeiras que utilizam o sistema de pagamentos instantâneos PIX. Nos últimos dois meses, hackers conseguiram movimentar mais de R$ 1,2 bilhão de forma fraudulenta.
No caso da Caixa, a ação criminosa foi interrompida pela Polícia Federal (PF), que prendeu oito pessoas em flagrante. A corporação apreendeu um computador roubado do banco e investiga a possível ligação do grupo com fraudes anteriores. Segundo a PF, os criminosos obtiveram acesso a um notebook e uma credencial de acesso por meio de um gerente de uma agência da Caixa em São Paulo. O banco já havia registrado o roubo do dispositivo.
Como funcionam os ataques:
O método empregado nos ataques tem sido similar ao registrado nos casos da C&M Software e da Sinqia: os criminosos acessam senhas e sistemas internos das empresas para retirar valores de contas reservas, utilizadas no processamento das transações financeiras. É importante ressaltar que a estrutura do Banco Central não foi comprometida e o dinheiro de contas de clientes dos bancos não foi roubado.
Especialistas consultados apontam que o crescimento exponencial do PIX desde sua criação em 2020 o tornou um alvo mais atrativo para criminosos, que buscam brechas de segurança nos sistemas. Além disso, a falta de padrões de segurança elevados para todos os participantes do PIX, além dos grandes bancos, é um fator de risco.
A C&M Software e a Sinqia são Provedores de Serviços de Tecnologia da Informação (PSTI), ou seja, empresas que conectam as instituições financeiras ao Banco Central. Nathália Carmo, sócia da consultoria de segurança cibernética IAM Brasil, explica que a dependência de um número limitado de intermediários aumenta a vulnerabilidade. “Quando muitas instituições dependem do mesmo intermediário, ele se torna um alvo atrativo. A concentração se torna um risco iminente. Há um único ponto de falha”, afirma.
Os ataques exploram o conhecimento dos hackers sobre os sistemas bancários, facilitando a realização de transações sem muitas barreiras. Para Nathália, o monitoramento sobre esses intermediários precisa ser intensificado. “Quem deveria manter essa infraestrutura em conformidade é o intermediário. Ele precisa manter a segurança. É algo que foge da responsabilidade do banco”, completa.
O que está sendo feito:
Após os ataques, o Banco Central antecipou o prazo para que todas as instituições de pagamento obtenham autorização para operar. O novo prazo é maio de 2026, em vez de dezembro de 2029. Atualmente, de 936 participantes do PIX, 78 não possuem autorização expressa do Banco Central. A expectativa é que a exigência da autorização aumente o controle sobre os padrões de segurança das empresas.
Abdul Assal, diretor de desenvolvimento de negócios da Galileo, explica que as instituições autorizadas pelo Banco Central estão sujeitas a um acompanhamento mais rigoroso. “Quando uma instituição é autorizada e está na lupa do BC diariamente, ela tem mais obrigações e precisa melhorar suas políticas de segurança e contra lavagem de dinheiro”, afirma. O Banco Central busca agora “separar o joio do trigo” e manter no sistema financeiro apenas as empresas que conseguem garantir padrões elevados de segurança.
Além das novas regras, especialistas defendem a implementação de filtros mais eficazes contra movimentações suspeitas, com o uso de inteligência artificial. Rocelo Lopes, CEO da SmartPay, sugere que os bancos pesquisem o histórico dos titulares das contas antes de liberar as transações. O diretor-geral da Netscout, Geraldo Guazzelli, ressalta que a maior fragilidade reside no uso de credenciais legítimas obtidas por roubo ou compra. “Mas a credencial por si não é algo que vai garantir o sucesso. Tem que ser encontrada uma falha. É uma associação de fatores”, conclui.
