Se até algum tempo atrás os Provedores de Serviços de Tecnologia da Informação (PSTIs) quase não apareciam, por atuarem nos “bastidores” do setor financeiro, agora isso mudou. Em um intervalo de apenas dois meses, houve dois ataques hackers contra duas empresas com essa licença – Sinqia e C&M Software -, o que colocou esses players sob os holofotes, para dizer o mínimo. Especialistas veem um aumento de riscos operacionais e um aperto no controle e na fiscalização desses provedores pelo Banco Central (BC).
Os PSTIs funcionam como um “tubo de conexão” com a Rede do Sistema Financeiro Nacional (RSFN). São essas empresas, por exemplo, que processam transações via Pix para bancos, fintechs e demais instituições reguladas pelo BC. As regras para a atuação dos PSTIs estão na Circular nº 3.970, de 28 de novembro de 2019. Ou seja, são anteriores ao lançamento do Pix. Mas é importante esclarecer que a conexão ao Sistema de Pagamento Instantâneo (SPI), onde se liquidam as transações do Pix, não são o único serviço de TI que os PSTIs prestam às instituições reguladas.
Para Aylton Gonçalves, advogado e professor especialista em regulação financeira, os dois episódios recentes e na sequência um do outro expõem fragilidades operacionais. Embora existam mais de 1,8 mil instituições reguladas pelo BC, atualmente há apenas nove PSTIs*, de acordo com informações no site do BC. “São poucos PSTIs para muitas instituições do sistema financeiro. De certo modo, isso representa risco sistêmico”, avalia.
O especialista aponta que, por serem novos, os ataques eram um risco não percebido pelas instituições. Aylton destaca, ainda, que a regulamentação atual pode não estar adequada para enfrentar essas novas ameaças. “Se alguma lição fica desses dois casos recentes é [a necessidade de] ajuste de controles.”
Apesar dos riscos, ele não vê espaço para rompimento das relações comerciais, por exemplo. “Não podemos esperar que as instituições deixem de trabalhar com esses provedores. Não é viável internalizar todos os processos. O que se pede hoje para ser participante do Pix exige um nível tecnológico importante”, diz Aylton.
‘Pontos estratégicos de conexão’
Na avaliação do CEO e fundador de um dos maiores PSTIs do mercado, que preferiu falar em condição de anonimato, o BC “vem fazendo um forte trabalho de evolução de seus controles”. Questionado sobre a necessidade de o BC endurecer a fiscalização dos PSTIs, o empresário evita comentar sobre como o regulador deve proceder. No entanto, diz que o BC “tem demonstrado grande preocupação em evoluir cada vez mais seus controles para o mercado financeiro como um todo, e isso inclui a modalidade dos PSTIs.”
Para Rafael Maia, executivo responsável pela Tivit Fintech (antiga Tivit Techfin), outro PSTI, o crescimento vertiginoso do Pix transformou o sistema de pagamento instantâneo no principal alvo de hackers. E, naturalmente, os criminosos migraram para atacar também os PSTIs, que são “pontos estratégicos de conexão”, diz ele. “Isso não significa que o modelo de PSTI seja frágil em si, mas que alguns processos de segurança e monitoramento podem não ter funcionado plenamente nesses casos”, avalia.
Em tese, acrescenta Rafael, controles bem implementados — como testes contínuos, segregação de ambientes e autenticação em múltiplas camadas — seriam capazes de conter ou mitigar esse tipo de incidente. Ele lembra ainda que, no caso da C&M, houve envolvimento de um funcionário responsável pela manutenção do sistema. Já em relação ao episódio envolvendo o sistema da Sinqia, o executivo destaca que o mercado ainda aguarda os resultados das apurações.
O caso Sinqia
Praticamente exatos dois meses após a revelação de uma invasão contra a C&M, um novo caso voltou a preocupar o mercado. Na sexta-feira (29/8), a Sinqia, fornecedora de tecnologia para bancos e fintechs controlada pela porto-riquenha Evertec, foi vítima de um ataque ao seu sistema de conexão ao Pix. O episódio veio à tona na manhã de sábado (30/8) em reportagem do site NeoFeed. Em nota, a Sinqia confirmou ter detectado “atividade suspeita no ambiente Pix”, impactando um “número limitado de instituições financeiras”. Entre elas, estão o banco HSBC e a fintech Artta, que opera como Sociedade de Crédito Direto (SCD).
Ainda não se sabe, ao certo, qual o valor total desviado pelos criminosos ou a quantidade exata de instituições afetadas. As estimativas partem de R$ 420 milhões, podendo chegar a R$ 1 bilhão, de acordo com apurações de veículos como o próprio NeoFeed, O Globo e Estadão. O BC, que tratou o primeiro episódio como fruto de engenharia social, ainda não se pronunciou sobre o caso [veja a íntegra dos posicionamentos das instituições ao final da reportagem].
Em nota, o HSBC informou que identificou transações financeiras via Pix em uma conta de um provedor do banco. “Nenhuma conta dos clientes ou fundos foram impactados pela operação por elas terem ocorrido exclusivamente no sistema desse provedor”, afirmou. No Brasil, a instituição atua desde 2020 com foco em grandes empresas, após a venda, em 2015, do negócio de varejo ao Bradesco.
A Artta também confirmou o incidente, sem impacto aos sistemas da empresa, tampouco às contas de seus clientes. “As contas envolvidas são mantidas junto ao Banco Central e utilizadas exclusivamente para liquidação interbancária”, disse, em nota.
O que dizem as empresas
Posicionamento da Sinqia
No dia 29 de agosto, a Sinqia detectou atividade suspeita no ambiente Pix. Nossa equipe agiu rapidamente e iniciou uma investigação para determinar a causa do incidente. Estamos trabalhando com o apoio dos melhores especialistas forenses nisto. Já estamos em contato com clientes afetados, que compreendem um número limitado de instituições financeiras.
Leia também
Neste momento, verificamos que o incidente se limita apenas ao ambiente Pix. Não há evidências de atividade suspeita em nenhum outro sistema da Sinqia além do Pix e esse problema afeta apenas a Sinqia no Brasil. Além disso, neste momento, não temos indicação de que quaisquer dados pessoais tenham sido comprometidos.
Enquanto nossa investigação ainda está em andamento, colocamos em prática um plano detalhado para alcançar uma restauração completa. Primeiro, isolamos o ambiente Pix de todos os outros sistemas da Sinqia e o desconectamos proativamente do Banco Central, enquanto conduzimos nossa análise.
Em segundo lugar, por precaução, estamos trabalhando ativamente para reconstruir os sistemas afetados em um novo ambiente com monitoramento e controles aprimorados. Também estamos trabalhando com especialistas externos adicionais para nos ajudar a acelerar esse processo e complementar os recursos de nossa própria equipe. Depois que o ambiente for reconstruído e estivermos confiantes de que está pronto para ser colocado de volta em funcionamento, o Banco Central irá revisá-lo e aprová-lo antes de colocá-lo novamente online.
Posicionamento do HSBC
Na última sexta-feira, 29 de agosto, o HSBC identificou transações financeiras via PIX em uma conta de um provedor do banco.
Nenhuma conta dos clientes ou fundos foram impactados pela operação por elas terem ocorrido exclusivamente no sistema desse provedor.
O banco esclarece ainda que medidas foram tomadas para bloquear essas transações no ambiente do provedor.
O HSBC reafirma o compromisso com a segurança de dados e está à disposição das autoridades para colaborar com as investigações.
Posicionamento da Artta
No dia 29/08, a Sinqia S.A., empresa homologada e autorizada pelo Banco Central para operar o SPB e o Pix, registrou um incidente em sua infraestrutura tecnológica que afetou diversas instituições financeiras, entre elas a Artta Sociedade de Crédito Direto S.A. e bancos como o HSBC.
Não houve ataque ao ambiente da Artta nem às contas de nossos clientes. As contas envolvidas são mantidas junto ao Banco Central e utilizadas exclusivamente para liquidação interbancária.
Como medida preventiva, interrompemos as transações de saída no mesmo dia, priorizando a segurança e a proteção integral dos recursos de nossos clientes.
Estamos em contato direto com o Banco Central e a Sinqia e atuando para que a normalização das operações aconteça com a máxima agilidade e total segurança.
Reafirmamos nosso compromisso com a integridade do sistema financeiro, a proteção dos clientes e a transparência em nossas comunicações.
*Das nove empresas do tipo PSTI, sete estão ativas, enquanto duas aparecem como homologadas junto ao BC. A diferença entre elas é que as ativas, além da aprovação do regulador, têm clientes em produção.
