Bloomberg Línea — Nesta semana o sistema financeiro nacional foi surpreendido com um ataque hacker que já é considerado um dos maiores da história do país, com um roubo estimado em, ao menos, R$ 400 milhões.
As primeiras movimentações atípicas começaram na madrugada de segunda-feira (30), mas a notícia só ganhou holofotes após a prestadora de serviços financeiros C&M Software, que integra bancos ao sistema de pagamentos do Banco Central, comunicar um ataque à sua infraestrutura tecnológica na noite de terça-feira (1º).
Foram atingidas as contas reservas que cinco instituições mantinham junto ao Banco Central, segundo a BMP, empresa de Banking as a Service que foi uma das vítimas da fraude.
O Banco Paulista também confirmou ser um dos afetados. Nem as instituições financeiras nem o BC se pronunciaram sobre o valor total roubado.
Independentemente do montante levado pelos hackers, o ataque mostra fragilidades no sistema financeiro que precisam ser corrigidas de forma estrutural, segundo Fred Amaral, fundador da startup de infraestrutura financeira Lerian e, anteriormente, da Dock, uma das fintechs pioneiras em Banking as a Service.
Uma das principais fragilidades é justamente a dificuldade em reverter fraudes.
“Existem ferramentas de reversão, só que hoje a velocidade com que os fraudadores conseguem subverter esses mecanismos é muito maior do que a velocidade com que as instituições conseguem se proteger contra eles”, afirmou Amaral em entrevista à Bloomberg Línea.
Leia também: A maior ameaça cibernética para os Estados Unidos não é o TikTok
O dinheiro roubado costuma ser partilhado entre diversas “contas laranja” de diferentes instituições e redistribuído entre outras contas e bancos em questão de minutos, o que dificulta o rastreamento do roubo.
Ainda não existe um mecanismo tecnológico que seja capaz de reverter, automaticamente, os valores dispersados.
O resultado é um descompasso: a evolução tecnológica é considerada de primeira linha para as transações no sistema financeiro, enquanto a reação a fraudes ainda está em patamar analógico.
Segundo Amaral, as tentativas de recuperar os valores desviados foram feitas, em sua maioria, de forma manual e offline diante da ausência de mecanismos ágeis e coordenados para conter ataques em larga escala.
Amaral já esteve à frente de uma entidade regulada com a fundação da Dock, que chegou ao status de unicórnio - avaliada em US$ 1 bilhão ou mais - em 2022. Ele deixou a empresa para fundar a Lerian em 2024, startup que desenvolve o serviço de core bancário open source voltado para instituições reguladas.
Leia também: Fundador da Sinqia, Bernardo Gomes descobre ter doença rara e cria startup de saúde
Outro ponto de vulnerabilidade, segundo ele, reside no fato de que os provedores de core bancário e do que é chamado de mensageria – serviços necessários para que as instituições financeiras se conectem ao Banco Central – oferecem um modelo de oferta de Software as a Service (SaaS).
Os serviços de integração são contratados especialmente por bancos médios e fintechs – os grandes bancos de varejo costumam se conectar diretamente ao BC.
O modelo de contratação pode seguir dois caminhos: a infraestrutura fica na mão da instituição financeira ou essa gestão passa a ser terceirizada via SaaS.
Para Amaral, os serviços dos provedores não deveriam ser contratados como SaaS, mesmo no caso das fintechs, que preferem ter menos infraestrutura dentro de casa.
“Ter uma infraestrutura gerenciada por um terceiro é uma fragilidade. Quando a empresa decide ser uma entidade regulada pelo Banco Central, parte dessa responsabilidade precisa estar com ela, são os ‘ossos do ofício’”, disse.
Nesta quinta-feira (3), o Banco Central modificou a suspensão cautelar da C&M implementada na véspera por uma suspensão parcial.
Segundo o BC, a decisão foi tomada “após a empresa adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes”.
Com a decisão, as operações da C&M poderão ser restabelecidas em dias úteis, das 6h30 às 18h30, desde que haja anuência expressa da instituição participante do Pix e o robustecimento do monitoramento de fraudes e limites transacionais.
O regulador não indicou quais mudanças foram feitas para reforçar o monitoramento de fraudes.
Leia também: PayPal vê Brasil como ‘laboratório’ e quer avançar em adquirência, Pix e PMEs
Próximos passos
A expectativa é que o ataque hacker à C&M resulte em uma resposta do Banco Central e do próprio mercado. Amaral avaliou que o BC pode exigir novas barreiras de segurança, mas disse que o ideal seria uma atualização estrutural e tecnológica construída entre todos os agentes do sistema financeiro.
Três frentes são prioritárias, em sua visão.
A primeira é repensar o processo de verificação de identidade de clientes (Know Your Client), com maior integração entre instituições e uso de bases públicas – como a do aplicativo gov.br – para validar cadastros, respeitando as regras da Lei Geral de Proteção de Dados (LGPD).
“O BC poderia centralizar uma base única cadastral, auxiliando na construção de diversas tecnologias que facilitam ou evitam a abertura de contas laranja”, avaliou.
A segunda é investir nas já citadas soluções tecnológicas que permitam rastrear valores desviados de forma automatizada: isso fecharia o gargalo do processo que hoje depende de contatos pessoais entre áreas de back office como risco, fraude e compliance.
“Para fazer com que a transação aconteça, a integração entre os entes do mercado é extremamente tecnológica. Mas, para poder recuperar algo que foi produto de fraude, ainda é um trabalho extremamente manual”, afirmou.
Também seria necessário, segundo ele, avançar na capacidade de análise de comportamento transacional. Assim, alertas automáticos poderiam ser enviados em casos de movimentações atípicas, como altos valores na madrugada, por exemplo.
Leia também
Ex-BC e co-fundador da Movile se unem para lançar bolsa de imóveis tokenizados
