Quatro ataques hackers registrados nas últimas duas semanas contra fintechs e prestadores de serviço de tecnologia para instituições financeiras resultaram em roubos milionários de recursos das empresas. Um deles foi revelado pelo revelado pelo PlatôBR no dia 2 de setembro. Outros dois aconteceram no último fim de semana. Tanto o Banco Central quanto a Polícia federal atribuem o aumento no número de episódios de crimes cibernéticos a uma migração dos assaltos a bancos, caixas eletrônicos e carros-fortes para o ambiente virtual, diante de uma sofisticação do crime organizado no Brasil.

Um padrão foi identificado pelos técnicos do Banco Central: os criminosos têm explorado fragilidades nos sistemas das fintechs e das prestadoras de serviço para invadir esses ambientes virtuais e roubar valores vultosos por meio de transferências por Pix ou por TED para diversas contas em nome de laranjas. Em muitos casos, o dinheiro roubado é usado para a compra de criptoativos, que são mais difíceis de serem rastreados.

“Era de se esperar que o crime parasse de roubar carteiras para roubar senhas. Os ataques objetivaram roubar dinheiro de instituições, não de clientes”, disse o presidente do BC, Gabriel Galípolo, em entrevista coletiva na última sexta-feira, 5.

Galípolo reforçou na ocasião que o SBP (Sistema Brasileiro de Pagamentos) e o SPU (Sistema de Pagamentos Instantâneos), ambos geridos pelo BC e responsáveis pelas transferências via Pix e TED, não foram alvo dos criminosos e são seguros. As falhas foram encontradas nos sistemas das empresas.

Como consequência imediata dos ataques hackers, a autoridade monetária antecipou um aperto nas regras do Pix e da TED. O BC limitou em R$ 15 mil o valor de transferências para instituições de pagamento não autorizadas pela autarquia e para aquelas que se conectam ao sistema financeiro por meio de empresas terceirizadas, conhecidas tecnicamente com PSTIs (Prestadores de Serviços de Tecnologia da Informação). Atualmente, 250 instituições se conectam ao sistema financeiro por meio de terceirizadas. Nada muda para clientes de bancos e fintechs já autorizados e regulados pelo BC.

Além do limite para transferências, os requisitos e controles para o credenciamento dos PSTIs foram alterados. Esses prestadores terão de apresentar um capital mínimo de R$ 15 milhões. O descumprimento dessas regras acarretará em medidas cautelares e até em descredenciamento junto ao BC. As prestadoras de serviço já em atividade terão até quatro meses para se adequarem.

Novas medidas

O Banco Central prepara novas medidas de proteção que devem ser formalizadas nas próximas semanas. Uma delas se refere ao capital mínimo requerido para instituições de pagamentos, que deve aumentar dos atuais R$ 2 milhões para R$ 7 milhões.

Outra mudança deve ocorrer nas regras das “contas-bolsão” usadas pelo PCC para ocultar bens e lavar dinheiro, como revelou a Operação Carbono Oculto, da Polícia Federal, da Receita Federal e do Ministério Público.

Abertas por fintechs de pequeno porte em bancos tradicionais e instituições de pagamento, essas contas não identificam cada cliente e, por isso, tornam o percurso dos recursos mais difícil de ser provado. Segundo a Receita Federal, essa brecha foi usada para lavar dinheiro do crime e ocultar patrimônio.

O comportamento dos criminosos mostra a urgência das mudança preparadas pelo BC: três ataques hackers foram feitos depois da revelação pelos órgãos públicos de que o PCC estava infiltrado no sistema financeiro, usando as brechas legais para tentar limpar o dinheiro acumulado no mundo do crime.