Banco Central expõe brechas no Pix após ataques que roubaram R$ 1,5 bilhão

Depois de três ataques hacker seguidos, o Banco Central iniciou um processo para diagnosticar possíveis problemas em sua estrutura financeira. Segundo informações do Valor Econômico, o BC teria identificado pelo menos três elos por onde os hackers poderiam ter acessado contas dos bancos atacados.

Foram encontradas, por exemplo, fragilidades a prestadoras de serviços de tecnologia da informação (PSTIs). Essas empresas são como startups de tecnologia que trabalham na conexão entre a autarquia e empresas menores, como é o caso da C&M Software, por onde os criminosos conseguiram roubar mais de R$ 1 bilhão.

Uma das atuações dessas empresas é oferecer infraestrutura para que outras suportem pagamento com Pix. Atualmente, sete PSTIs estão autorizadas pelo BC em todo o Brasil.

Outra falha identificada pelo BC foi no contato com instituições de pagamentos, que são empresas também integradas ao Pix, mas que contam com requisitos menores de segurança. Desde 2020, apenas as empresas que movimentam acima de R$ 500 milhões por ano precisam cumprir regras mais rígidas, o que parece ter afetado o controle interno de cada uma delas.

Leia mais: Novo ataque hacker desvia R$ 5 milhões de contas de fintech; entenda

Algumas dessas empresas estiveram na mira da Polícia Federal nas últimas semanas, em decorrência da Operação Carbono Oculto. O crime organizado usava contas abertas nas fintechs para lavar o dinheiro ilegal.

Por fim, ainda de acordo com o Valor, outro fio solto são as contas-bolsão, que funcionam como uma ferramenta das instituições financeiras para diminuir o custo de suas operações. Com isso, elas podem juntar o patrimônio de muitos clientes em uma única conta, sem necessidade de separar os saldos por titularidade.

Esse assunto também foi discutido pelos agentes da Polícia Federal e do Ministério Público que fizeram busca e apreensão na Faria Lima. O mecanismo até é considerado como redutor de custos -portanto, beneficia os negócios- mas agora deve ter suas regras revistas.

Nas últimas duas semanas, ao menos três ataques fizeram os cofres de instituições financeiras que atuam no Brasil sangrar mais de R$ 1,5 bilhão. O caso mais emblemático envolveu as contas do HSBC, por onde os criminosos conseguiram desviar mais de R$ 500 milhões.

No entendimento do BC essas falhas não se resumem ao sistema do Pix. Isso porque o STR (Sistema de Transferência de Reservas), usado para envio de TED, também foi afetado em um dos casos citados.