A Sinqia, fornecedora de tecnologia que interliga bancos ao sistema de pagamentos instantâneos PIX, confirmou uma intrusão que resultou na transferência ilícita de cerca de 710 milhões de reais para contas de laranjas. Trata-se do terceiro incidente grave envolvendo empresas integradoras do PIX em menos de três meses.
Como ocorreu o desvio
De acordo com um relatório remetido pela controladora Evertec à Comissão de Valores Mobiliários dos Estados Unidos (SEC), os atacantes aproveitaram credenciais de fornecedores legítimos de tecnologias de informação. Esse acesso permitiu-lhes agir como prestadores de serviço de confiança, efectuar ordens de pagamento e movimentar fundos sem accionarem alertas imediatos.
Os primeiros indícios de actividade suspeita surgiram na sexta-feira, 29 de Agosto. Após a confirmação da violação, todas as transacções processadas pela Sinqia foram suspensas e especialistas externos em cibersegurança entraram em acção. As instituições mais visadas foram o HSBC e a fintech Artta, mas ambas garantem que as contas de clientes não foram directamente impactadas, uma vez que a operação se limitou aos servidores da Sinqia.
O Banco Central do Brasil (BC) declarou que a sua rede permanece intacta. Ainda assim, cortou de imediato as ligações da Sinqia ao ecossistema PIX e condicionou o restabelecimento do serviço à reconstrução completa do ambiente afectado e à aprovação posterior pelos técnicos do BC.
Montante recuperado e medidas de contenção
A Evertec comunicou que parte dos 710 milhões já foi resgatada graças a bloqueios preventivos em contas receptoras. Equipas especializadas continuam a rastrear transferências para recuperar o valor remanescente. Durante o período de interrupção, os clientes da Sinqia recorreram a outros prestadores para manter as operações de pagamentos imediatos.
Incidentes anteriores com empresas do ecossistema PIX
O ataque reacende preocupações depois de acontecimentos semelhantes. Em Julho, a C&M Software, também responsável por soluções de integração com o PIX, sofreu uma violação que causou perdas estimadas entre 400 milhões e 1,5 mil milhões de reais. As investigações apontaram a colaboração de um funcionário de TI, que terá vendido as suas credenciais por 5 mil reais e recebido 10 mil adicionais para instalar um sistema clandestino de desvio de fundos. Uma das vítimas, a fintech BMP, reportou prejuízos de 541 milhões.
No início de Setembro, a Monbank comunicou um ataque que desviou 4,9 milhões de reais do seu ambiente PIX e do Sistema de Transferência de Reservas (STR). Cerca de 200 mil reais permanecem por recuperar, mas a empresa assegura que não houve violação directa de dados de clientes.
Impacto no sector financeiro
Os três episódios evidenciam um padrão: os criminosos deixam de investir em técnicas de intrusão contra infra-estruturas bancárias centrais e concentram-se em prestadores intermédios, cuja segurança é percepcionada como menos robusta. A utilização de credenciais válidas, obtidas por engenharia social ou conluio interno, dificulta a detecção precoce.
Reguladores e instituições financeiras avaliam agora medidas adicionais, incluindo a imposição de auditorias de segurança obrigatórias e a segmentação de acessos de terceiros. Especialistas alertam que o sucesso repetido destes ataques pode minar a confiança pública no PIX, serviço que processa milhares de milhões de reais diariamente.
Próximos passos para a Sinqia
Em comunicado oficial, a Sinqia afirma ter iniciado a reconstrução total do ambiente comprometido e mantém cooperação com autoridades policiais e regulatórias. A empresa não divulgou prazos para retomar a ligação ao PIX, mas sublinha que só voltará a operar depois de receber certificação de segurança independente e a validação final do Banco Central.
Enquanto decorrem as investigações e a recuperação de valores, o caso coloca novamente em destaque a importância da gestão rigorosa de credenciais de terceiros e da monitorização contínua de transacções em tempo real no ecossistema de pagamentos instantâneos brasileiro.
