Um ataque informático atingiu na passada sexta-feira, 29 de Agosto, a infraestrutura de pagamentos instantâneos operada pela Sinqia e permitiu o desvio de aproximadamente R$ 420 milhões do banco HSBC por meio de transferências Pix. O incidente, confirmado pela própria fornecedora de tecnologia, envolveu ainda a fintech Artta e levou o Banco Central (BC) a suspender temporariamente a ligação da Sinqia à rede nacional do sistema de pagamentos.
Dimensão financeira do ataque
Fontes ouvidas pela imprensa brasileira indicam que cerca de R$ 380 milhões saíram de contas do HSBC e outros R$ 40 milhões foram subtraídos da Artta. A rápida intervenção das autoridades possibilitou o bloqueio de R$ 350 milhões, reduzindo parcialmente as perdas finais enquanto prossegue o processo de recuperação de fundos.
Os valores desviados foram transferidos em múltiplas operações Pix, explorando vulnerabilidades nas comunicações entre os servidores da Sinqia e a rede do Banco Central. De acordo com a empresa, a infraestrutura central do Pix manteve-se operacional e não foi comprometida diretamente, limitando o impacto a instituições ligadas à sua plataforma.
Como o ataque foi conduzido
Segundo informação divulgada pela Sinqia, o comprometimento ocorreu nas rotas de comunicação que interligam os seus servidores ao Banco Central. Assim que a movimentação suspeita foi detectada, o BC interrompeu de imediato a conexão da prestadora de serviços, medida que travou a propagação da ameaça para outras entidades financeiras.
A actuação rápida do regulador permitiu impedir novos envios e facilitou o bloqueio de uma fatia significativa dos montantes desviados. Paralelamente, a Polícia Federal abriu inquérito para rastrear os responsáveis, enquanto peritos forenses analisam os registos de transacções e os sistemas afectados.
Posicionamento dos bancos envolvidos
O HSBC comunicou que nenhum cliente particular ou empresarial foi atingido, uma vez que as transferências ocorreram a partir de uma conta de serviço utilizada para liquidação. O banco adiantou ter accionado os protocolos internos de defesa, colaborando com as autoridades para rastrear valores e reforçar controlos.
Já a Artta esclareceu que o incidente não impactou contas de utilizadores finais. A fintech salientou que os recursos movimentados pertenciam ao seu fundo de liquidação, mantido junto do Banco Central, e reiterou que o seu ambiente interno não sofreu qualquer intrusão.
Medidas imediatas e próximos passos
A Sinqia iniciou a reconstrução das plataformas afectadas num novo ambiente, dotado de monitorização reforçada e camadas adicionais de protecção. Especialistas externos foram contratados para apoiar a investigação, rever processos de segurança e acelerar o restabelecimento dos serviços.
A empresa sublinhou que, concluída a migração, o Banco Central procederá a uma auditoria detalhada antes de autorizar a reactivação da ligação ao ecossistema Pix. Só depois dessa validação a operação regular será retomada.
Impacto regulatório e investigação em curso
A dimensão financeira do desvio coloca esta ocorrência entre os maiores ataques a sistemas de pagamentos no Brasil. O Banco Central, que gere o Pix, tem enfatizado a importância de redundâncias e verificações independentes nos canais utilizados por instituições participantes. Dependendo das conclusões da investigação, podem surgir novas exigências de segurança para fornecedores tecnológicos.
Enquanto isso, a Polícia Federal concentra-se em identificar os actores responsáveis, rastrear o percurso dos fundos e determinar se houve colaboração interna nas empresas atingidas. O processo inclui a emissão de ordens de bloqueio adicionais junto de instituições financeiras nacionais e internacionais, além da cooperação com organismos de cibersegurança.
Panorama de segurança no sistema Pix
Desde a sua introdução, em 2020, o Pix tornou-se o método de pagamento electrónico predominante no Brasil, movimentando centenas de milhões de transacções mensalmente. A rapidez das transferências, embora conveniente para utilizadores, também abre oportunidades a grupos criminosos que procuram explorar vulnerabilidades nos diversos elos da cadeia, especialmente em integradores terceirizados.
O caso recente reforça o alerta para a necessidade de auditorias contínuas e testes de intrusão regulares. Especialistas recomendam que bancos e fintechs mantenham sistemas de detecção em tempo real e planos de contingência claros para suspensão automática de operações em caso de anomalia.
Reforço da confiança dos utilizadores
Apesar da relevância do incidente, o Banco Central sublinha que a infraestrutura central do Pix continua íntegra e segura. As autoridades esperam que a rápida contenção dos danos e a recuperação de grande parte dos valores desviados contribuam para preservar a confiança dos utilizadores no sistema de pagamentos instantâneos.
Nos próximos meses, a Sinqia e os bancos afectados deverão divulgar relatórios pormenorizados sobre as causas do ataque e as medidas correctivas implementadas, informação que servirá de base a futuras actualizações regulamentares e a boas práticas de cibersegurança no sector financeiro.
