Os prejuízos ainda estão sendo contabilizados, uma pessoa já foi presa, mas exatamente o que aconteceu e como ainda é investigado pela Polícia Civil de São Paulo e pela Polícia Federal (PF). Três dias após o maior ataque hacker na história do Brasil utilizar credenciais de acesso válidas e invadir os sistemas da C&M — uma empresa de tecnologia que faz a intermediação do acesso de bancos e fintechs de pequeno porte aos sistemas do Banco Central, incluindo o Pix — o sistema financeiro nacional como um todo ainda se recupera do choque e tenta entender melhor o tamanho do golpe.

O desfalque pode chegar a mais de R$ 1 bilhão — apenas o BMP, um banco digital que é uma das seis empresas clientes da C&M afetadas, relatou à polícia paulista o roubo de R$ 541 milhões. A princípio, o dinheiro não afetou os clientes e saiu das contas de reserva das instituições financeiras no Banco Central. 

Seja como for, de acordo com especialistas ouvidos pela Gazeta do Povo, existem ações práticas e relativamente simples que podem e devem ser tomadas tanto pelas instituições financeiras e suas prestadoras de serviço quanto pelo Banco Central daqui para a frente, para evitar que este tipo de ataque se repita e gere um risco sistêmico para o mercado financeiro nacional. A maioria das medidas já existe e tem adeptos nos grandes bancos e empresas, mas não são obrigatórias — daí a responsabilidade do Banco Central de apertar essa regulamentação, além de criar mais travas internas.

“Aparentemente, utilizaram logins e senhas válidas de uma empresa intermediária para conseguir logins e senhas válidas das instituições financeiras clientes dessa empresa para aí, então, usarem essas informações para entrar e movimentar as contas de reserva dessas empresas no Banco Central”, afirma Micaella Ribeiro, especialista em identidades e acessos da IAM Brasil, empresa especializada em controles de acesso no geral.

Ela ressalta que o caso é tratado sob enorme sigilo, então não há informações detalhadas sobre o que aconteceu. 

De acordo com a especialista, os sistemas do Banco Central são seguros. “A maioria dos ataques hacker usa acessos válidos para invadir um sistema, é muito difícil simplesmente quebrar a segurança e invadir sem credenciais válidas”, diz.

“Existem resoluções do Banco Central que exigem uma série de medidas de segurança das empresas para participar deste sistema. Os grandes bancos vão além disso e implementam além do exigido, mas talvez seja necessário especificar melhor algumas coisas para evitar mais problemas no futuro.”

Única credencial e senha de acesso não poderiam ter tanto poder, opina especialista

Depois do ataque, quem trabalha no setor entende que pode ser o caso de apertar um pouco o cerco com normas que já estão previstas.

“O manual do Banco Central para conectar nos seus sistemas é bastante abrangente e traz um panorama bem completo de medidas de segurança, mas algumas coisas bem importantes constam ali como recomendações ao invés de ser obrigatório", afirma Luiz Henrique Barbosa, diretor-executivo da Swarmy Tecnologia, empresa especializada em segurança e prevenção a fraudes digitais, com foco no mercado financeiro.

“O ecosistema das fintechs, onde deu-se o problema, possui uma regulação menos rígida que a dos grandes bancos, que conectam-se diretamente ao sistema do BC. Isso é desejável, pois é o que torna possível toda a inovação e concorrência que temos visto no setor, mas talvez precise de ajustes pontuais”, observa Barbosa.

O primeiro deles seria o Banco Central estabelecer regras mais rígidas, de acordo com a realidade de cada instituição financeira, e exigir a criação de diversas camadas de acesso e autorização dentro da instituição financeira e das empresas que fazem a ligação entre os bancos e o BC para que transferências de contas sensíveis, como a conta de reserva, fiquem mais protegidas em eventual vazamento de algum login e senha de acesso. 

“Eu me pergunto também como uma única credencial e senha de acesso na empresa intermediadora de sistemas podia ter tanto poder, a ponto de no fim conseguir através dela chegar na movimentação de tanto dinheiro dos clientes, onde estavam as barreiras de acesso e alarmes”, questiona Barbosa. 

Nesse esquema em “cebola”, cada acesso e movimentação financeira nas contas internas do banco ficam sujeitas à aprovação de alguém um nível acima, com notificações em tempo real nos celulares dos envolvidos, se for o caso — também é possível estabelecer limites de recursos que cada nível gerencial pode movimentar sem anuência dos gestores superiores, além de se exigir a participação de mais de uma credencial de acesso simultaneamente ou mesmo só autorizar transações mediante o uso de dispositivos físicos específicos e, assim, limitar os danos em caso de ataque.

"Casa de Papel" brasileira no mundo digital

Em segundo lugar, tanto as intermediadoras de acesso aos sistemas do Banco Central quanto as instituições financeiras donas do dinheiro devem e podem estabelecer alertas de monitoramento em tempo real sobre as transações financeiras, que avisem os setores e profissionais responsáveis caso algo atípico esteja acontecendo com as contas no ato das transações, inclusive com travas automáticas até que a transação seja validada nos níveis competentes. 

Por fim, além de exigir mais rigor nisso tudo com edição de normas específicas, o próprio Banco Central pode impedir a saída de recursos das contas reservas pelo período da noite, por exemplo (como foi feito no ataque em questão), ou em desacordo com valores, contas pré-autorizadas e horários previamente cadastrados pelas instituições financeiras e suas prestadores de serviço junto ao Banco Central. 

“Resumindo, dá para melhorar em todas as pontas”, opina Micaella Ribeiro.

“Esse caso mostra que o cibercrime veio para ficar e não ataca mais apenas pessoas físicas desavisadas em golpes pequenos na internet. Esse caso parece ser a ‘Casa de Papel’ brasileira, só que no mundo virtual, e deixa um alerta e lição muito grandes”, diz Luiz Henrique Barbosa.