Quando parecia que o PIX era um sistema quase imbatível, um ataque hacker mostrou o tamanho da vulnerabilidade da rede. Na última sexta-feira (29), criminosos digitais desviaram cerca de R$ 710 milhões ao explorar brechas em um dos maiores intermediários de tecnologia do sistema.
Como o ataque abalou o PIX
A responsável pelo incidente foi a Sinqia, empresa que conecta bancos e fintechs ao PIX. Segundo a controladora Evertec, invasores usaram credenciais de fornecedores legítimos de TI para inserir transações falsas no ambiente da companhia.
O golpe atingiu principalmente o HSBC, com um prejuízo estimado em R$ 670 milhões, e a fintech Artta, com perdas próximas de R$ 41 milhões. Felizmente, o Banco Central conseguiu bloquear aproximadamente R$ 589 milhões, o que representa 83% do valor desviado.
Apesar da dimensão, a infraestrutura central do PIX não foi comprometida. A falha se restringiu ao ambiente da Sinqia, que teve sua conexão com o sistema financeiro nacional suspensa pelo BC até segunda ordem.
Quem foi atingido e como reagiu
O HSBC, instituição mais impactada, divulgou nota garantindo que nenhuma conta de clientes foi invadida. As transações suspeitas ocorreram exclusivamente em contas de um provedor ligado ao banco. “Medidas foram tomadas para bloquear as transações no ambiente do provedor”, reforçou a instituição.
A Artta também afirmou que o ataque não atingiu clientes. O problema ficou restrito a contas usadas para liquidação interbancária diretamente com o Banco Central.
Já a Sinqia se apressou em dizer que o incidente está “limitado ao ambiente PIX” e que não há indícios de comprometimento de dados pessoais. A empresa iniciou a reconstrução dos sistemas em um ambiente novo, com monitoramento reforçado e apoio de especialistas externos em cibersegurança.
Um alerta para o sistema financeiro
Embora o Banco Central mantenha o discurso de que o PIX segue seguro, o episódio levantou uma questão incômoda: até que ponto a rede depende de intermediários vulneráveis?
Esse caso lembra o ataque de julho contra a C&M Software (CMSW), outro prestador autorizado a operar com o PIX. Na ocasião, criminosos também usaram credenciais de clientes para acessar sistemas de forma fraudulenta, com a participação de um funcionário da própria empresa.
Ou seja: a tecnologia do PIX pode ser robusta, mas o elo frágil está nos parceiros terceirizados que conectam bancos menores e fintechs ao sistema.
O que acontece agora
No momento, o Banco Central só vai autorizar a Sinqia a retomar as operações quando houver garantias de segurança total. Enquanto isso, bancos e fintechs que usavam os serviços da empresa tiveram de migrar às pressas para outros provedores de tecnologia para manter suas transações funcionando.
A Evertec, controladora da Sinqia, informou à SEC (a Comissão de Valores Mobiliários dos EUA) que parte do valor já foi recuperada e que esforços adicionais de rastreamento continuam.
Impacto para o usuário comum
Se você usa PIX no dia a dia, não precisa entrar em pânico. Segundo as instituições, nenhum cliente pessoa física foi afetado. O ataque mirou exclusivamente operações B2B (empresa para empresa).
Mas o episódio deixa um recado claro: mesmo em um sistema rápido, barato e popular como o PIX, a confiança depende de vigilância constante.
O desvio milionário mostra que o PIX continua sendo alvo de hackers cada vez mais sofisticados. Apesar de o grosso do dinheiro já ter sido bloqueado, o caso expõe vulnerabilidades graves no ecossistema de intermediários do sistema financeiro. A pergunta que fica é: será que o próximo ataque vai ser contido com a mesma eficiência?
[Fonte: G1 – Globo]
