Desde junho, instituições financeiras e de pagamento vêm enfrentando uma onda crescente de ataques cibernéticos que miram, sobretudo, o ecossistema do Pix e, em alguns casos, operações via TED. A sequência de incidentes levou o Banco Central (BC) a anunciar, na última quinta-feira (4), um pacote de medidas com vigência imediata para reduzir a superfície de ataque, elevar requisitos de segurança e apertar o cerco regulatório. Segundo a autarquia, o alvo são organizações criminosas que exploram brechas tecnológicas e operacionais.
O episódio mais recente antes do anúncio envolveu o Santander, que sofreu um ataque de negação de serviço por meio de consultas massivas a QR Codes do Pix, gerando instabilidade. Apesar de não haver desvio de recursos nem acesso a dados, o caso foi classificado por especialistas como um “vandalismo digital”, que expôs os riscos de interrupções deliberadas por sobrecarga. O banco bloqueou os acessos indevidos e notificou as autoridades competentes.
O que disse o Banco Central sobre os ataques cibernéticos?
Na coletiva de anúncio das medidas, o presidente do BC, Gabriel Galípolo, afirmou que as medidas foram antecipadas frente à atuação do crime organizado e destacou que “não são contra as instituições do mercado financeiro, mas contra organizações criminosas”. Entre as principais mudanças anunciadas estão:
- Limite de R$ 15 mil para operações de Pix e TED em casos específicos.
- Exigência de autorização prévia para prestadores de serviços de tecnologia (PSTIs).
- Cronograma de quatro meses para implementação de requisitos de governança.
- Prazo de 30 dias para que instituições com autorização indeferida encerrem operações.
- Possibilidade de dispensa temporária do limite para participantes que comprovem práticas maduras de controle e governança.
Além disso, Galípolo ressaltou que cooperativas também não poderão operar sem aval regulatório. O BC tenta, assim, equilibrar a segurança com a continuidade das operações de agentes que já demonstram maior maturidade no cumprimento de controles internos.
Casos recentes: relembre os ataques cibernéticos
Os ataques se intensificaram nas últimas semanas e atingiram diferentes tipos de instituições. Veja a linha do tempo dos principais episódios:
- Santander (4/9): ataque de negação de serviço via QR Code Pix; sem perdas financeiras.
- Monbank (2/9): desvio de R$ 4,9 milhões via TED; fintech informou ter recuperado o valor.
- Sinqia (ago): registro de desfalque de cerca de R$ 710 milhões; parte já teria sido recuperada.
- C&M Software (jun/jul): perdas estimadas em R$ 1 bilhão; Polícia Civil apontou envolvimento interno.
Mesmo após o anúncio do BC, novas invasões ocorreram. No sábado (6), a autarquia emitiu dois alertas de ataques com perdas financeiras efetivas:
- E2 Pay (14h20): subtração de valores de correntistas.
- Banco Triângulo (22h30): ataque semelhante, também com retirada de recursos.
Esses episódios reforçam a escalada da ameaça, que agora evolui de tentativas de sobrecarga para a retirada direta de recursos financeiros.
O elo humano é o ponto mais vulnerável para os ataques cibernéticos?
Para Renato Batista, CEO da NetGlobe Cyber Security, os ataques cibernéticos revelam não apenas falhas tecnológicas, mas também o papel central do fator humano. “Dois terços das invasões acontecem pela porta da frente, com credenciais reais obtidas via engenharia social. Precisamos transformar o elo fraco em elo forte, fortalecendo pessoas e processos”, afirmou.
Casos como o da C&M Software, em que um funcionário vendeu credenciais, evidenciam essa fragilidade. Segundo Batista, programas de cultura organizacional são essenciais. “Não basta dizer o que não pode ser feito, é preciso explicar o porquê. Só assim criamos profissionais preparados para denunciar tentativas de phishing e vishing antes que se transformem em incidentes graves”.
Pix: inovação sob ataques cibernéticos
O especialista ressalta que a popularidade do Pix o torna alvo natural dos criminosos. “São bilhões de transações e nem sempre a governança acompanha essa escala. O Pix não é inseguro, mas é o caminho mais rentável para criminosos. Se chegarem ao backbone, o impacto pode se estender à identidade digital, biometria e até aplicativos de governo”, alertou.
Por outro lado, Batista não vê risco de perda de credibilidade do sistema. “Esse é um problema de sociedade. Golpes existem em cartões de crédito e em outros meios. O desafio é maturidade e gestão de toda a cadeia do sistema financeiro”, disse.
Limites, capital mínimo e maturidade
O pacote do BC também incluiu a exigência de capital mínimo de R$ 15 milhões para prestadores de serviços de tecnologia. Para Batista, subir a régua é importante, mas não garante sozinho a segurança. “No curto prazo, ajuda. Mas o ponto central é a maturidade dos fornecedores que integram a cadeia. O sistema financeiro tem governança elevada, mas será que os parceiros têm o mesmo padrão? A resposta é não.”
Na avaliação dele, controles de governança, frameworks de maturidade e investimentos direcionados são ferramentas mais eficazes para reduzir vulnerabilidades e preservar a reputação das empresas.
Inovação x segurança regulatória
O equilíbrio entre inovação financeira e segurança regulatória é, segundo Batista, um dos maiores desafios. “A inteligência artificial vai redefinir tanto o ataque quanto a defesa. Precisamos de governança dinâmica e sanções para limitar o acesso de criminosos a sistemas avançados. Do nosso lado, temos que usar IA para detectar fraudes em tempo real e preservar a continuidade dos negócios digitais.”
Ele destaca ainda que a transformação digital acelerada na pandemia não foi acompanhada por uma evolução proporcional da postura de segurança. Nesse sentido, defende que a cibersegurança seja tratada como projeto de Estado, envolvendo sociedade, empresas e poder público na criação de barreiras sólidas contra o crime digital.