Alvo de um ataque hacker, na última sexta-feira (29/8), a Sinqia – empresa de tecnologia que presta serviços para instituições financeiras – se manifestou nesta terça-feira (2/9), por meio de nota, e estimou em cerca de R$ 710 milhões o tamanho do rombo na ação criminosa digital.
De acordo com a empresa, que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) – o que engloba o ambiente de liquidação do Pix, sistema de transferências e pagamentos instantâneos criado pelo Banco Central (BC) em 2020 e amplamente utilizado pelos brasileiros –, “aproximadamente R$ 710 milhões em transações B2B não autorizadas, impactando duas instituições financeiras clientes da Sinqia, foram processados por meio do ambiente Pix” da companhia, no dia 29 de agosto.
“A empresa foi informada que parte deste valor foi recuperada e esforços adicionais de recuperação estão em andamento”, diz a nota da Sinqia.
As informações fazem parte de um relatório elaborado pela empresa Evertec, de Porto Rico, que controla a Sinqia. O documento foi entregue à Comissão de Valores Mobiliários dos Estados Unidos (SEC, na sigla em inglês). Os dados foram obtidos por meio de uma análise forense contratada pela Sinqia.
Leia também
-
HSBC se pronuncia após ataque hacker que desviou milhões pelo Pix
-
Ataque hacker atinge empresa que conecta bancos ao sistema Pix
-
Hacker do caso Felca pagou R$ 300 para ter acesso a sistema da polícia
-
“Roubo do século”? Entenda ataque hacker que pode ter desviado R$ 1 bi
O ataque hacker
Inicialmente, a estimativa era a de que teriam sido desviados cerca de R$ 670 milhões no ataque hacker – dos quais R$ 630 milhões do banco HSBC e outros R$ 40 milhões da fintech Artta, uma Sociedade de Crédito Direto (SCD).
Sociedade de Crédito Direto (SCD) é uma instituição financeira autorizada BC que concede empréstimos e financiamentos usando capital próprio, de forma 100% digital. Ao contrário dos bancos, ela não pode captar depósitos do público – deve utilizar recursos financeiros próprios e na operação via plataforma eletrônica.
Fintechs são empresas que introduzem inovações no mercado financeiro por meio do uso intenso de tecnologia, com potencial para a criação de novos modelos de negócios. Elas atuam por meio de plataformas on-line e oferecem serviços digitais relacionados ao setor.
No Brasil, há várias categorias de fintechs, como as de crédito, pagamento, gestão financeira, empréstimo, investimento, financiamento, seguro, negociação de dívidas, câmbio e multisserviços.
Estima-se que o BC tenha conseguido bloquear, até aqui, cerca de R$ 360 milhões do montante desviado. A autoridade monetária ainda não se manifestou sobre o caso.
De acordo com a Sinqia, foi identificada uma atividade não autorizada em seu ambiente que acessa o sistema do Pix.
“Ao detectar esse incidente, e agindo de acordo com seus protocolos de resposta, a Sinqia suspendeu o processamento de transações em seu ambiente Pix e começou a trabalhar com especialistas de cibersegurança externos”, diz a empresa.
A Sinqia afirmou ainda que, segundo uma investigação preliminar, as transações não autorizadas ocorreram por meio da exploração de credenciais legítimas de fornecedores de Tecnologia da Informação (TI) da empresa. Após o incidente, todos os acessos a essas credenciais foram encerrados.
“A empresa acredita que o incidente se limite ao ambiente Pix da Sinqia e não identificou nenhuma atividade não autorizada em nenhum outro sistema Sinqia além do Pix no Brasil. A empresa também não tem indícios de que quaisquer dados pessoais tenham sido comprometidos”, diz a nota.
Desconectada do Pix
Desde que comunicou o BC sobre o episódio, na própria sexta-feira, a Sinqia está desconectada do Pix. No último domingo (31/8), a companhia apresentou ao BC um plano de retomada de seus serviços. A autoridade monetária ainda não se manifestou a respeito.
A companhia afirma que “está trabalhando diligentemente para obter aprovação para retomar o processamento de transações no Sistema de Pagamentos Brasileiro (SPB) e do Pix”.
Além do BC, o caso está sendo investigado pela Polícia Federal (PF) e pela Polícia Civil de São Paulo.
Atualmente, a Sinqia atende a 24 instituições, especialmente no mercado financeiro.
O que dizem HSBC e Artta
Também por meio de nota, o HSBC confirmou ter identificado transações via Pix em conta de um provedor do banco, mas garantiu que nenhuma conta de cliente ou de fundos foi atingida. A ação dos criminosos teria acontecido apenas no sistema desse provedor.
“O banco esclarece ainda que medidas foram tomadas para bloquear essas transações no ambiente do provedor. O HSBC reafirma o compromisso com a segurança de dados e está à disposição das autoridades para colaborar com as investigações”, diz o banco.
A Artta, por sua vez, afirma que comunicará seus clientes “assim que tiver uma posição oficial ou nova atualização sobre a retomada de conexão ao sistema Pix”.
“Reafirmamos nosso compromisso com a transparência e com a segurança dos recursos de nossos clientes”, diz nota da companhia.