Em meio a investigações do maior ataque cibernético já registrado contra o sistema de pagamento instantâneo do Brasil, o PIX, o Banco Central anunciou na última sexta -feira (4) a suspensão de precaução de mais três instituições financeiras suspeitas de envolvimento com o desvio milionário. O caso, que já levou seis participantes do ar, expôs as fraquezas do sistema e reacendeu o debate sobre segurança digital no setor financeiro brasileiro.
A decisão do BC expande a lista de fintechs para longe de Pix para suposto relacionamento com o desvio de fundos das contas de reserva dos bancos mantidos na autoridade monetária. Até agora, estima -se que o golpe tenha movido pelo menos R $ 530 milhões em transferências instantâneas, posteriormente convertidas em criptomoedas.
Leia mais: Ataque de hacker em SP: as empresas recebem milionários de pixirs
Mais três participantes do ar
As novas empresas suspensas pelo Banco Central são a Voluti Financial Management, Brasil Cash e S3 Bank. Eles se juntam ao transferência, Soffy e Nuoro Pay, que já haviam sido desconectados do sistema logo após a detecção do ataque.
A suspensão é uma medida preventiva prevista no artigo 95-A da Resolução nº 30/2020, que permite que o município remova, até 60 dias, qualquer participante de pix cuja conduta esteja em risco para a operação do sistema.
De acordo com o BC Note, a prioridade é proteger a integridade e a confiança no arranjo de pagamentos enquanto as investigações avançam.
O que as instituições afetadas dizem
Transferra, uma das primeiras a serem suspensas, se manifestou por meio de uma declaração, esclarecendo que sua própria estrutura e seus clientes não foram impactados pelo incidente e que a empresa colabora com as autoridades para retomar sua participação no PIX o mais rápido possível.
O Soffy e Nuoro Pay, que não são participantes diretos do PIX, mas agem através de parcerias com bancos, não comentaram publicamente a desconexão. Os recém -participantes Voluti, Brasil Cash e S3 Bank também não responderam aos pedidos de comentários feitos pela imprensa.
Como ocorreu o ataque
A ofensiva contra o sistema foi acionada na noite de terça -feira (1ª) e, como vetor, o fornecedor de tecnologia C&M Software, que fornece serviços a várias instituições financeiras, conectando -as ao sistema de pagamento brasileiro (SPB), operado pelo BC.
Os criminosos obtiveram acesso aos sistemas da empresa por meio de um funcionário de co -opetado, que, de acordo com a polícia civil de São Paulo, recebeu US $ 15.000 para atribuir suas credenciais de acesso e criar um mecanismo para os hackers invadirem a rede. Ele foi preso na sexta -feira e confessou a participação.
Apesar do desvio de recursos, a C&M declarou que nenhum dados final foi comprometido.
Investigação em andamento
O caso é investigado juntos pelo Banco Central, pela Polícia Federal e pela Polícia Civil Paulista. Até o momento, as autoridades descobrem se as seis instituições suspensas têm um vínculo direto com o esquema ou se foram usadas apenas como canais para o fluxo de valores desviados.
Na quinta -feira (3), o BC já havia autorizado a C&M a retomar suas operações com o PIX, indicando que a empresa reforçou suas defesas cibernéticas e não oferece mais risco imediato ao sistema.
Impactos e riscos no sistema financeiro
O episódio levanta questões sobre a robustez dos mecanismos de segurança das empresas que prestam serviços no ecossistema financeiro e expõem o risco sistêmico de provedores de tecnologia que compõem várias instituições.
Para especialistas, embora o próprio PIX seja considerado seguro, a cadeia de participantes e terceiros envolvidos em sua operação pode conter pontos vulneráveis que requerem maior inspeção e investimentos na segurança cibernética.
O Banco Central enfatizou que continua monitorando o caso de perto e que não há risco de picar usuários finais, pois os valores desviados vieram de contas de reserva bancária, não diretamente das contas de clientes.
Com informações de: Agência Brasil