O BC (Banco Central) diz ter adotado mecanismos complementares de monitoramento dos sistemas das instituições financeiras participantes do Pix, sistema de pagamentos instantâneos. A medida foi tomada após vazamento de chaves por falha na rede do Banese (Banco do Estado de Sergipe) na quarta-feira (30), que expôs informações de 395 mil pessoas.
De acordo com a autarquia, uma das iniciativas foi reforçar o tratamento de consultas no sistema de chaves em volumes atípicos.
Em comunicado aos acionistas, o Banese afirmou que sua área técnica detectou consultas indevidas a dados de chaves exclusivamente do tipo telefone de pessoas que não eram clientes. As informações foram conseguidas a partir de duas contas bancárias de clientes do banco.
Notícias Relacionadas
Recalculando a rota
Governo apresenta PLDO com superávit de 0,5% apenas para 2027
Texto apresentado por Fazenda e Planejamento confirmou as mudanças já esperadas
Atraso na agenda
‘Texto já está pronto’, diz Haddad sobre reforma tributária
“Eu acredito que nesta semana vai. Queríamos que fosse hoje”, disse Haddad quando foi questionado sobre o envio dos projetos de lei.
Segundo a autoridade monetária, o Banese também implementou medidas para reparar a falha identificada no sistema, que “não seguia integralmente as determinações previstas no Manual de Segurança do Pix”.
“Do lado do BC, foram implementados mecanismos complementares de monitoramento aplicáveis a todas as instituições participantes do Pix, que inclui reforço no tratamento de consultas em volumes atípicos”, afirmou o BC em nota.
Além disso, a autarquia esclareceu que não houve falha no sistema do BC.
“Não foi explorada nenhuma vulnerabilidade em qualquer sistema do BC. O hacker acessou as informações utilizando a infraestrutura tecnológica do sistema do Banese, explorando falhas graves de segurança no aplicativo da instituição”, alegou.
“Em suma, quem acessou o DCIT [diretório administrado pela autarquia] foi o próprio participante Banese. O desconhecido não autorizado jamais teve acesso direto aos sistemas do BC”, completou.
O BC ressaltou que as medidas já adotadas reduzem o risco de outro vazamento de dados.
Para Rafael Stark, presidente da fintech Stark Bank, o sistema do Pix é seguro. “O vazamento é uma falha exclusiva do banco Banese”, afirmou.
O especialista levantou algumas hipóteses que podem levar a vazamentos de chaves Pix.
“Caso haja vazamento interno por funcionários maliciosos, apenas uma melhora na governança e alto controle de acesso às informações podem evitar isso”, ressaltou.
“Se o vazamento ocorre em razão de clientes maliciosos do banco fazendo varreduras das chaves do Pix por bots, chutando o número do telefone até que se encontre uma chave válida, por exemplo, cabe ao banco monitorar clientes com excesso de tentativas de chaves inválidas e bloquear o acesso do cliente”, pontuou.
O Banese afirmou que possivelmente o hacker obteve as informações mediante engenharia social.
“Nesse caso, cabe ao banco orientar os clientes apenas a falarem através dos canais oficiais do Banco e nunca através de SMS, email ou links enviados de fontes desconhecidas”, alertou Stark.
O criminoso que utiliza engenharia social engana a sua vítima ao se passar por uma instituição ou site confiável e faz com que ela forneça os dados.
Peterson dos Santos, especialista em segurança de dados e presidente da empresa de tecnologia Trio, não atribui o vazamento à falta de segurança do sistema do Pix.
Ele ressalta que a implementação do novo meio de pagamento foi muito rápida. “Por isso estão aprimorando diariamente a capacidade de evitar fraudes e com certeza isso continuará acontecendo durante os próximos meses”, disse.
Para o especialista, os dados contidos nas chaves não são sensíveis. “Não há motivos para supervalorizar o vazamento e desacreditar de um projeto da magnitude do Pix e com todas as suas implicações diretas na vida de toda a população”, ponderou.
Victor Hugo Pereira Gonçalves, presidente da Sigilo, instituto especializado em proteção de dados e segurança da informação, frisou que a chave Pix é um dado pessoal e o seu vazamento constitui infração do artigo 46 da Lei Geral de Proteção de Dados.
“Infelizmente, institucionalmente, o BC e a ANPD [Autoridade Nacional de Proteção de Dados] não tem feito nada, mas a situação é grave e requer atenção. Não está claro dentro das regras do Pix quais são os mecanismos de segurança adotados”, ponderou.
Em sua visão, a estrutura desenvolvida para as chaves é insegura e não gera confiança. “Ela demanda que cada instituição desenvolva sua parte e isso gera risco ainda maior. No caso do Banese talvez tenha sido o desenvolvimento que tenha dado brecha para o vazamento”, afirmou.
Nesta sexta-feira (1º), o presidente do BC, Roberto Campos Neto, afirmou que o aumento das fraudes no Pix está mais relacionado à reabertura da economia do que com as regras aplicadas ao sistema de pagamentos instantâneos.
Em evento virtual promovido pelo Morgan Stanley, ele ressaltou que o BC promoveu mudanças no Pix para evitar fraudes e outros crimes.
“Criamos um novo segmento do Pix só para evitar fraudes. Claro, houve um aumento no número de fraudes, mas isso está mais relacionado à reabertura da economia do que a forma como fazemos”, disse.
Campos Neto se referia às mudanças recentes implementadas pelo BC nas regras do Pix para aumentar a segurança e reduzir a vulnerabilidade dos sistemas às ações de criminosos em fraudes, sequestros e outros crimes.
Foi determinado, por exemplo, o limite de R$ 1.000 para operações em canais digitais com Pix e TED (Transferência Eletrônica Disponível) entre pessoas físicas à noite, que começa a valer em 4 de outubro.
Além disso, na semana passada, o BC publicou norma que permite que o banco retenha uma operação suspeita de fraude por até 72 horas, medida que passa a valer em 16 de novembro.
*
PRINCIPAIS MUDANÇAS SOBRE SEGURANÇA NO PIX
COMO ERA
– Limites: igual ao da TED em qualquer horário
– Operações suspeitas: o banco não podia reter nenhuma operação e a liquidação tinha que ser feita na hora
– Pedido de aumento de limite: cada banco tinha uma política
– Cadastro de contas: não era permitido
COMO FICA
– Limites: padrão de R$ 1.000 entre 20h e 6h, podendo ser modificado pelo cliente; medida também vale para TED e transferência no WhatsApp
– Operações suspeitas: o banco pode reter uma operação suspeita no Pix por 30 minutos durante o dia ou 60 minutos à noite para análise de risco
– Pedido de aumento de limite: o banco deve atender o pedido entre 24 horas e 48 horas após a solicitação
– Cadastro de contas: o cliente pode cadastrar contas previamente no Pix para fazer transações acima do limite estabelecido, mas mantendo o valor para as demais operações; o registro em canal digital deve ser feito 24 horas antes
