Ataques cibernéticos no setor financeiro
Casos recentes de desvio de recursos
Entre os incidentes registrados, destaca-se o caso da Sinqia Digital, que relatou um total desviado de R$ 710 milhões de instituições financeiras no ambiente do Pix, sendo que parte deste montante já foi recuperada, com as autoridades conseguindo assegurar inicialmente R$ 366 milhões. O ataque ocorreu em 29 de agosto e afetou o HSBC Brasil e a Artta, uma sociedade de crédito.
As transações ilegais foram realizadas utilizando credenciais legítimas de fornecedores de tecnologia da informação, cujo acesso, segundo a empresa, foi prontamente encerrado. A Sinqia informou que não há indícios de comprometimento de dados pessoais e que contratou especialistas em cibersegurança para investigar a ocorrência.
Outra empresa afetada foi a C&M Software, que desde 2002 integra bancos e outras instituições ao Sistema de Pagamentos Brasileiro (SPB). Essa companhia desenvolve soluções de infraestrutura e software, atuando como intermediária entre o sistema e as instituições que não se conectam diretamente, como bancos menores.
De acordo com a C&M, os recursos desviados podem ter alcançado R$ 1 bilhão, mas não impactaram clientes diretamente; foram direcionados a contas reservas mantidas junto ao Banco Central (BC), que são utilizadas para liquidar operações interbancárias, incluindo transferências eletrônicas disponíveis (TED), boletos e o Pix.
Durante o mesmo período, a fintech gaúcha Monbank, sob o nome fantasia de Monetarie, foi alvo de um ataque que resultou no desvio de R$ 4,9 milhões de sua conta reserva. Nesse caso, ao contrário dos incidentes envolvendo a C&M e a Sinqia, os criminosos atacaram o sistema de TED voltado para não clientes, mas tentaram acessar o ambiente do Pix sem sucesso, sendo bloqueados pelo Banco Central.
Este evento foi o terceiro ataque cibernético de grande repercussão registrado em um período de dois meses no setor financeiro brasileiro, afetando tanto provedores de serviços de tecnologia da informação (PSTIs) quanto contas de reserva bancária mantidas no Banco Central.
Como os hackers invadem o sistema financeiro?
Especialistas consultados afirmam que os hackers aproveitam falhas em sistemas desatualizados, senhas fracas ou ataques de phishing — que consistem em mensagens fraudulentas que enganam pessoas para roubar dados. Entre as vulnerabilidades mais comuns estão APIs mal configuradas, senhas de administradores sem proteção, programas antigos sem correção de segurança e falhas no processo de login.
Ataques de ransomware, nos quais os criminosos bloqueiam dados e solicitam um pagamento para liberá-los, e de engenharia social, que manipulam indivíduos, têm se tornado cada vez mais frequentes. A recomendação para as empresas inclui a adoção de autenticação multifator resistente a phishing, criptografia de ponta a ponta, políticas de acesso mínimo, testes de invasão periódicos, monitoramento contínuo de atividades, simulações de resposta a incidentes, além da governança de inteligência artificial (IA), abrangendo controle de modelos e conectores.
De acordo com os especialistas, do ponto de vista jurídico, é obrigatório que as instituições cumpram a Lei Geral de Proteção de Dados Pessoais (LGPD) e as normas do Banco Central. A LGPD exige a implementação de medidas técnicas e administrativas para proteger dados pessoais contra acessos não autorizados, sob pena de responsabilização civil, administrativa e criminal. Empresas que não mantêm programas de governança em segurança e privacidade podem ser alvos de sanções e indenizações.
Por que hackers estão mirando o Pix?
A digitalização das operações e o aumento das transações instantâneas, como as realizadas pelo Pix, tornaram o ambiente mais atraente para criminosos, muitos dos quais atuam a nível internacional. Além disso, a utilização de soluções terceirizadas por bancos digitais e fintechs expôs falhas em pontos de integração entre sistemas.
Segundo Daniela Poli Vlavianos, advogada do escritório Arman Advocacia, pequenas empresas, como provedores de software e startups no setor financeiro, muitas vezes não seguem padrões de segurança tão rigorosos quanto os grandes bancos. Isso as torna alvos atrativos para invasões que podem se espalhar pelo ecossistema financeiro.
A advogada observa que a criminalidade organizada percebeu que atacar essas empresas, que são menos protegidas em comparação aos grandes bancos, permite acesso indireto a informações sensíveis e conexões críticas. Isso resulta em um fenômeno de risco sistêmico: a vulnerabilidade de um elo menor compromete toda a cadeia financeira.
Nos últimos anos, o ecossistema financeiro brasileiro passou a contar com novos participantes, como provedores terceirizados conectados a bancos e fintechs, enquanto iniciativas como o Open Finance avançam e o Pix por aproximação começou a ser regulamentado.
O aumento no volume de dinheiro e dados circulando nesses ambientes conectados atrai grupos especializados que preferem explorar os elos mais frágeis da cadeia, como fornecedores, integradores e softwares de mercado, antes de escalar um ataque dentro do sistema. Ao mesmo tempo, o crime digital tornou-se mais profissional, utilizando inteligência artificial generativa em fraudes e engenharia social, concentrando esforços nos ataques à cadeia de fornecedores.
Imaturidade na supervisão compromete leis e resoluções
O arcabouço regulatório brasileiro evoluiu nos últimos anos, com normas como a Resolução do Banco Central do Brasil (BCB) nº 85/2021, voltada à segurança cibernética e continuidade dos negócios, assim como as diretrizes da Comissão de Valores Mobiliários (CVM) sobre gestão de riscos operacionais (Resolução 53/2021).
No entanto, há um reconhecimento de que a eficácia da supervisão está ligada à maturidade na implementação dessas normas pelas instituições, especialmente aquelas de menor porte, que ainda apresentam brechas exploradas por criminosos.
O sócio da M.A. Santos Côrte Real Advogados, Thomaz Côrte Real, aponta que seria desejável uma maior integração regulatória com a Autoridade Nacional de Proteção de Dados (ANPD), com foco na proteção de dados pessoais sensíveis e na troca de informações entre autoridades, inclusive por meio de estruturas como os Isacs (Centros de Análise e Compartilhamento de Informações sobre ameaças cibernéticas e físicas), que visam reduzir o tempo médio de detecção e resposta a ameaças.
Proteção contra ataques cibernéticos: recomendações
Nos casos em que provedores de serviços financeiros são alvo de ataques cibernéticos, os saldos dos clientes geralmente não são perdidos. Contudo, podem ocorrer indisponibilidades temporárias em serviços como login, transferências e pagamento de boletos. Quando há vazamento de dados, o risco de fraudes aumenta, especialmente por meio de engenharia social.
O advogado especializado em direito do consumidor, Leo Rosenbaum, destaca que o maior risco reside no uso indevido de dados vazados, podendo resultar em fraudes. Ele recomenda monitorar as movimentações financeiras e agir rapidamente em caso de irregularidades.
Quando um problema atinge a liquidação de pagamentos, o Banco Central pode determinar interrupções controladas e acompanhar a situação até que mínimos padrões de segurança sejam restabelecidos.
Para clientes que possuem aplicações, existe a rede de proteção do Fundo Garantidor de Créditos (FGC), que cobre até R$ 250 mil por CPF e por instituição em produtos como Certificado de Depósito Bancário (CDB), Letras de Crédito Imobiliário e do Agronegócio (LCI/LCA) e poupança. Essa garantia não se estende a fundos de investimento, ações ou criptomoedas.
Rosenbaum orienta os clientes a trocarem senhas imediatamente, monitorarem suas contas e notificarem a empresa em caso de problemas. Como acionistas, é aconselhável demandar transparência sobre o impacto dos ataques cibernéticos. Juridicamente, é possível buscar reparação por danos caso a empresa tenha sido negligente na proteção, com base no Código de Defesa do Consumidor. É fundamental agir rapidamente e, se necessário, consultar um advogado.
