Cerca de um mês e meio depois de o Banco Central (BC) anunciar um conjunto de medidas para reforçar a segurança do Sistema Financeiro Nacional (SFN), um novo ataque hacker com transações via Pix veio à tona. Os golpistas roubaram pelo menos R$ 26 milhões da FictorPay, segundo o site PlatôBR. Mas o número de instituições afetadas pode ser maior e o valor, chegar a R$ 40 milhões. Isso porque o incidente atingiu uma fornecedora da FictorPay, apurou o Finsiders Brasil. Trata-se da Diletta, empresa de Campinas (SP) especializada em softwares white label (com a marca do parceiro) para o setor financeiro.
Procurada, a Diletta confirmou ter sido vítima de um ataque cibernético. Porém, não deu mais detalhes sobre o caso. “Assim que o incidente foi identificado, a empresa tomou todas as diligências necessárias para tratar da situação com a máxima seriedade e responsabilidade”, afirmou, em nota.
De acordo com fontes a par do assunto, o ataque teria ocorrido de forma semelhante aos casos envolvendo C&M Software e Sinqia, ambas Provedoras de Serviço de Tecnologia da Informação (PSTIs) junto ao Banco Central (BC). Ou seja, os criminosos teriam comandado a invasão aos sistemas da Diletta mediante credenciais de acesso cedidas por um funcionário da empresa.
Diferença
A diferença crucial em relação aos episódios anteriores é que a Diletta é uma fabricante de softwares, e não tem conexão com o BC. A empresa faz parcerias com instituições reguladas que operam no modelo de Banking as a Service (BaaS). Ou seja, um ataque desse tipo acaba sendo bastante difícil de ser “rastreado” pelo regulador. Pelo menos até que se tenha regras claras para o BaaS.
No caso da FictorPay, por exemplo, um de seus parceiros é a Celcoin, empresa de infraestrutura financeira autorizada pelo BC. Conforme a FictorPay disse em nota, o incidente não registrou até o momento qualquer impacto em seus sistemas próprios. A companhia disse ter sido comunicada sobre uma “atividade irregular em ambiente tecnológico de um prestador de serviços” que atende diversas companhias. “A ocorrência está sendo apurada pela própria prestadora, com o apoio de especialistas em segurança da informação.”
Também por meio de nota, a Celcoin negou qualquer invasão, ataque ou comprometimento em sua infraestrutura tecnológica ou ambiente transacional. “As análises indicam que a origem do incidente está em uma empresa provedora de soluções de aplicativo white label utilizada por este cliente e por outras empresas do mercado, impactando diversos players de BaaS e Core Banking, sem qualquer relação com a Celcoin”, informou a empresa.
Regulador se mexe – mas é suficiente?
O novo ataque hacker joga ainda mais pressão no BC, que busca apertar o cerco às fraudes e aos golpes com um conjunto de medidas de segurança para o Pix e supervisão às instituições. Em 5/9, o regulador publicou uma série de regras que incluem limite de R$ 15 mil para Pix e TED em Instituições de Pagamento (IPs) não autorizadas ou que usam PSTIs.
Desde 13/10, também está valendo uma norma publicada em 11/9, que obriga as instituições autorizadas detentoras de conta a rejeitar transações de pagamento que tenham como destinatárias contas com “fundada suspeita de envolvimento em fraude”. E há quase um mês, o BC publicou novas resoluções para reforçar a segurança e a aplicação de penalidades no Pix.
Na visão de especialistas e executivos, o momento exige cooperação. O endurecimento das normas, embora necessário, não basta. É preciso união entre os players, e controles em múltiplas camadas para reforçar a confiança.
Em relaçãio ao novo ataque hacker, o BC disse não se manifestar sobre casos de supervisão específicos. “O Banco Central monitora o Sistema Financeiro [Nacional, SFN] de forma permanente e adota ações de supervisão, de forma rotineira e quando necessário”, afirmou o regulador, em resposta ao Finsiders Brasil.
Posicionamentos das empresas
Diletta
“A Diletta informa que, recentemente, foi vítima de um ataque cibernético. Assim que o incidente foi identificado, a empresa tomou todas as diligências necessárias para tratar da situação com a máxima seriedade e responsabilidade.
Leia também
A Diletta está colaborando com as autoridades policiais para auxiliar na investigação do ocorrido e na identificação do seu autor.
A segurança dos nossos clientes é prioridade e estamos comprometidos em resolver essa situação da melhor forma possível. Até esse momento não foi identificado o envolvimento de dados pessoais no incidente.
Agradecemos a compreensão de todos e nos comprometemos a manter a transparência durante todo o processo de investigação do ocorrido.“
FictorPay
“A FictorPay informa que foi comunicada sobre uma atividade irregular em ambiente tecnológico de um prestador de serviços que atende diversas companhias, entre elas a empresa. A ocorrência está sendo apurada pela própria prestadora, com o apoio de especialistas em segurança da informação, e até o momento não há registro de qualquer impacto nos sistemas próprios da FictorPay.
A companhia compreende a gravidade do ocorrido e reafirma seu compromisso com a segurança e a integridade dos dados de seus clientes e parceiros. As medidas necessárias já estão sendo adotadas, e a empresa segue colaborando com as autoridades para o total esclarecimento dos fatos.“
Celcoin
“A Celcoin informa que não houve qualquer invasão, ataque ou comprometimento em sua infraestrutura tecnológica ou ambiente transacional.
Foi identificada uma movimentação atípica na conta de um cliente, prontamente detectada por nossos sistemas de monitoramento. Assim que o comportamento foi percebido, bloqueamos preventivamente as operações e alertamos imediatamente o cliente.
As análises indicam que a origem do incidente está em uma empresa provedora de soluções de aplicativo white label utilizada por este cliente e por outras empresas do mercado, impactando diversos players de BaaS e Core Banking, sem qualquer relação com a Celcoin. Reforçamos que nenhuma invasão ou fraude ocorreu em nosso ambiente.
Seguimos apoiando o cliente nas investigações e nos procedimentos de recuperação dos valores, mantendo contato direto com as autoridades competentes.
Reafirmamos que todas as operações e ambientes da Celcoin permanecem estáveis e seguros, em total conformidade com as normas do Banco Central do Brasil.“
