SÃO PAULO, SP (FOLHAPRESS) – Especialistas em cibersegurança do setor financeiro veem uma série de falhas que deram brecha para o ataque hacker que roubou cerca de R$ 1 bilhão na última semana.
Uma delas é a certificação digital da BMP estar sob posse da sua provedora de PSTI (Provedor de Serviços de Tecnologia da Informação), a C&M, empresa que sofreu o furto. Essa atitude passou à C&M o controle das comunicações da BMP com o BC. Na prática, é como dar um talão de cheques em branco, mas já assinado, a um representante.
A operação é adotada no mercado para implementar processos de pagamento autônomos, sem necessidade de validação manual -essa facilidade, porém, cria um risco de segurança, diz Isabel Silva, diretora da empresa de cibersegurança Add Value.
Pessoas com conhecimento sobre a investigação da Polícia Civil dizem sob condição de anonimato que a BMP nem sequer recebeu avisos sobre as transações, uma vez que as mensagens que iniciaram as movimentações partiram da C&M. O fundador da BMP, Carlos Benitez, só tomou ciência do ocorrido quando recebeu um telefonema do CorpX Bank, às 4h do último dia 30, informando um Pix de R$ 18 milhões.
Outro deslize seria o acesso privilegiado aos sistemas da C&M que o ex-técnico de TI João Nazareno Roque -preso por participação no furto- detinha, sem a necessidade de uma segunda autorização.
As investigações policiais ainda não esclareceram se Roque tinha tais permissões de acesso desde o início ou se as condições para executar a fraude foram estabelecidas durante os três meses em que o ex-funcionário da C&M recebeu instruções da quadrilha responsável pelo incidente.
Especialistas também apontam falha na fiscalização insuficiente do Banco Central sobre o funcionamento das instituições que fazem parte do Pix.
Na última terça (8), em almoço com a Frente Parlamentar do Empreendedorismo, o presidente do BC, Gabriel Galípolo citou o ataque hacker para defender a PEC (Proposta de Emenda à Constituição) que concede autonomia financeira e orçamentária do BC, assegurando, porém, que os sistemas internos do BC seguem íntegros.
“Do ponto de vista do banco tudo funcionou, porque [o invasor] teve acesso à conta da instituição. Precisa crescer investimentos em segurança. Por isso, retorno ao tema da PEC. O BC tem condições de fazer que se fiscalize recursos da maneira mais transparente e pública”, disse.
“Se você seguir tudo que é especificado pelo BC, no mínimo, o tamanho e a abrangência [do ataque] teriam sido muito reduzidos. A estrutura desenhada não é frágil, mas precisa ser bem configurada”, diz Carlos Sangiorgio, vice-presidente de tecnologia da Sinqia, que atua como PSTI, assim como a C&M, que foi o alvo do ataque hacker.
Segundo o executivo, o BC monitora o funcionamento das fornecedoras à distância, e requer anualmente documentos que atestam o cumprimento das normas, como comprovantes de que há duplo fator de certificação e que só funcionários essenciais podem operar a comunicação com o BC, o que inibiria o crime ocorrido.
A operação interna dos participantes, porém, não é vista e nem ativamente fiscalizada pelo BC. Dessa forma, o regulador não poderia ter detectado os pontos de fragilidade que podem ter originado o ataque hacker.
Assim, a única anomalia possivelmente detectável pelo Banco Central seria o volume incomum transacionado fora do horário comercial. O regulador, porém, só soube do crime quando a BMP o alertou.
Ex-diretores do BC ouvidos sob condição de anonimato concordam com a avaliação de participantes do setor de que faltou uma fiscalização ativa do BC, e temem que o episódio danifique a credibilidade do sistema financeiro.
A falta de servidores também foi apontada por eles como uma possível explicação para a inexistência de uma maior fiscalização.
Atualmente, o arcabouço regulatório do BC não permite uma observância na íntegra de toda a cadeia do Pix. O que ele monitora de perto é a segurança e o funcionamento apenas das linhas diretas de comunicação das instituições com o sistema de pagamentos.
Esta ponte entre bancos e o BC depende de uma rede que pode ser construída pela própria instituição financeira, ou fornecida por um provedor de tecnologia, o PSTI. Porém, a comunicação entre as contratantes e o PSTI, que foi o alvo do hacker, não é de responsabilidade do BC.
SETOR ESPERA AUMENTO DE FISCALIZAÇÃO PELO BANCO CENTRAL
Atualmente, o regulador é bem mais rígido na autorização de PSTIs do que na sua fiscalização, avaliam participantes do setor.
A Stark Bank, por exemplo, recebeu sinal verde para ser PSTI em janeiro deste ano, após um ano e meio de averiguação junto ao BC, preenchendo todos os requisitos.
“O BC avalia a tecnologia existente na empresa. O mais exigido foi a segurança do sistema e a infraestrutura de comunicação Rede do Sistema Financeiro Nacional (RSFN) “, diz Auziane Moraes, diretora de produtos do Stark.
“Ele é bem rigoroso na homologação, mas esse não é um departamento da autarquia que tem tantas pessoas trabalhando como no Pix, o que torna a entrada de novos provedores mais demorada”, completa.
Depois do caso da C&M, a expectativa do setor é que o BC endureça as regras e aumente a fiscalização.
“Uma avaliação mais rigorosa é esperada para evitar que esse tipo de falha que aconteça novamente”, afirma Auziane.
“Prevejo um endurecimento muito forte do BC para todo esse sistema, com mais monitoramento. O que é bom, a competição fica mais justa. BC deve auditar todo mundo e enxugar o número de fintechs”, diz Sangiorgio.
ENTENDA QUAIS AS INSTITUIÇÕES QUE OPERAM O SISTEMA PIX
Hoje, há 934 participantes ativos no sistema Pix, como bancos tradicionais, cooperativas, iniciadores de pagamento, banco de cambio, e outros 47 estão em processo de adesão. Dos operantes, 77% tem participação indireta. Ou seja, precisam contratar uma PSTI para se comunicar com a conta PI (pagamento instantâneo) que têm no BC.
“Para operar no Pix, é necessário, por exemplo, ter três turnos de pessoas trabalhando 24 horas sete dias por semana e poucas empresas têm estrutura para isso”, afirma Bruno Balduccini, sócio da prática de direito bancário do escritório Pinheiro Neto. Segundo o advogado, as PSTIs resolvem esse gargalo ao atender o volume de pedidos de diversas instituições financeiras e de pagamento.
De acordo com a norma do BC, cabe a cada PSTI avaliar se a instituição contratante é confiável, especialmente em termos de segurança.
Há ainda fintechs que precisam contratar um banco maior para prover serviços bancários. Instituições focadas em fornecer esse serviço são conhecidas como BaaS (Banking as a Service), caso da BMP, que perdeu R$ 541 milhões com o ataque hacker.
De acordo com a Abranet (Associação Brasileira de Internet), o BC discute regras para reforçar as responsabilidades das empresas que atuam como BaaS desde o fim do ano passado, quando realizou consulta pública. O edital já foi encerrado, mas os resultados ainda não foram indicados.
“Vale lembrar que as instituições afetadas foram vítimas desse incidente, não por necessariamente terem falhado com seus clientes, que não foram afetados”, disse a entidade em nota.
No caso da BMP, a instituição cobriu o prejuízo com fundos próprios, que somavam R$ 605 milhões no fim do ano passado -ao menos R$ 160 milhões foram recuperados nas primeiras 48 horas.
Houve outras seis instituições vitimadas pelo ataque, e só duas delas registraram boletim de ocorrência. Segundo o delegado divisionário da Delegacia de Crimes Cibernéticos (DCCi) da Polícia Civil de São Paulo, Paulo Eduardo Barbosa, foram desviados R$ 104 milhões da BIB e R$ 49 milhões da CorpX.
Após o incidente, o BC entrou em contato com as PSTIs homologadas para se certificar de que o que aconteceu com a C&M não se repita.
O órgão aguarda uma auditoria na C&M, sem desomologar a instituição. Por enquanto, o limite transacional da provedora foi reduzido e o horário de operação limitado de 6h30 às 18h30. Diversos clientes, porém, já avaliam a contratação de outro serviço de PSTI.
“A abertura para as fintechs democratizou [o sistema financeiro], mas as regras precisam garantir um nível de segurança que proteja os cidadãos. Acredito que a BC vai ter que obrigar medidas que protejam o sistema como a custodia segura de chaves que assinam as transações e rígidos controles de acesso”, diz Marco Zanini, CEO da Dinamo Networks, fornecedora de cibersegurança para diversos bancos e para o próprio BC.
O regulador suspendeu sete fintechs cujos clientes receberam parte dos valores roubados. Elas só poderão voltar para o ecossistema Pix caso atestem que as falhas de segurança foram corrigidas e que seguem as normas estabelecidas pelo BC.
