A Sinqia, empresa responsável por fornecer tecnologias que conectam bancos ao sistema PIX, confirmou ter sofrido uma invasão que resultou na transferência de mais de R$ 710 milhões para contas de laranjas. As instituições mais impactadas foram o HSBC e a fintech Artta.
O caso veio à tona após relatório da Evertec (controladora da Sinqia) enviado à SEC, órgão que regula o mercado financeiro nos Estados Unidos.
Como o ataque aconteceu
De acordo com a Evertec, os criminosos exploraram credenciais de fornecedores legítimos de TI, o que permitiu agir como se fossem parceiros confiáveis. Com isso, conseguiram movimentar valores dentro do sistema sem levantar suspeitas imediatas.
Apesar da gravidade, tanto o HSBC quanto o Banco Central afirmaram que a rede do BC não foi comprometida e que nenhum cliente teve conta ou fundos diretamente afetados, já que a fraude ocorreu exclusivamente nos sistemas da Sinqia.
Após a detecção da atividade suspeita, a empresa suspendeu todas as transações e acionou especialistas em cibersegurança. Parte do valor desviado já foi recuperada, mas os trabalhos para recuperar o restante continuam.
Não é um caso isolado
Esse ataque lembra o episódio da C&M Software, ocorrido em julho, quando hackers desviaram entre R$ 400 milhões e R$ 1,5 bilhão. Naquele caso, um funcionário de TI colaborou com os criminosos, vendendo acesso ao sistema da empresa por valores irrisórios diante do prejuízo causado.
Outro episódio recente foi registrado pelo Monbank, que sofreu um desvio de R$ 4,9 milhões via PIX e STR. A fintech conseguiu recuperar a maior parte do dinheiro e garantiu que não houve vazamento de dados de clientes.
Crescente onda de ataques ao PIX
O PIX, apesar de ser considerado seguro pelo Banco Central, tem se tornado alvo de criminosos que exploram brechas em sistemas de terceiros – como fornecedores de tecnologia financeira – para aplicar golpes de grande escala.
Casos como os da Sinqia, C&M Software e Monbank reforçam a necessidade de reforçar a segurança em todo o ecossistema, incluindo prestadores de serviço e parceiros de tecnologia.
