O BC (Banco Central) diz ter adotado mecanismos complementares de monitoramento dos sistemas das instituições financeiras participantes do Pix, sistema de pagamentos instantâneos. A medida foi tomada após vazamento de chaves por falha na rede do Banese (Banco do Estado de Sergipe) na quarta-feira (30), que expôs informações de 395 mil pessoas.
De acordo com a autarquia, uma das iniciativas foi reforçar o tratamento de consultas no sistema de chaves em volumes atípicos.
Em comunicado aos acionistas, o Banese afirmou que sua área técnica detectou consultas indevidas a dados de chaves exclusivamente do tipo telefone de pessoas que não eram clientes. As informações foram conseguidas a partir de duas contas bancárias de clientes do banco.
Segundo a autoridade monetária, o Banese também implementou medidas para reparar a falha identificada no sistema, que “não seguia integralmente as determinações previstas no Manual de Segurança do Pix”.
“Do lado do BC, foram implementados mecanismos complementares de monitoramento aplicáveis a todas as instituições participantes do Pix, que inclui reforço no tratamento de consultas em volumes atípicos”, afirmou o BC em nota.
Além disso, a autarquia esclareceu que não houve falha no sistema do BC.
“Não foi explorada nenhuma vulnerabilidade em qualquer sistema do BC. O hacker acessou as informações utilizando a infraestrutura tecnológica do sistema do Banese, explorando falhas graves de segurança no aplicativo da instituição”, alegou.
“Em suma, quem acessou o DCIT [diretório administrado pela autarquia] foi o próprio participante Banese. O desconhecido não autorizado jamais teve acesso direto aos sistemas do BC”, completou.
O BC ressaltou que as medidas já adotadas reduzem o risco de outro vazamento de dados.
Para Rafael Stark, presidente da fintech Stark Bank, o sistema do Pix é seguro. “O vazamento é uma falha exclusiva do banco Banese”, afirmou.
O especialista levantou algumas hipóteses que podem levar a vazamentos de chaves Pix.
“Caso haja vazamento interno por funcionários maliciosos, apenas uma melhora na governança e alto controle de acesso às informações podem evitar isso”, ressaltou.
“Se o vazamento ocorre em razão de clientes maliciosos do banco fazendo varreduras das chaves do Pix por bots, chutando o número do telefone até que se encontre uma chave válida, por exemplo, cabe ao banco monitorar clientes com excesso de tentativas de chaves inválidas e bloquear o acesso do cliente”, pontuou.
O Banese afirmou que possivelmente o hacker obteve as informações mediante engenharia social.
“Nesse caso, cabe ao banco orientar os clientes apenas a falarem através dos canais oficiais do Banco e nunca através de SMS, email ou links enviados de fontes desconhecidas”, alertou Stark.
O criminoso que utiliza engenharia social engana a sua vítima ao se passar por uma instituição ou site confiável e faz com que ela forneça os dados.
Peterson dos Santos, especialista em segurança de dados e presidente da empresa de tecnologia Trio, não atribui o vazamento à falta de segurança do sistema do Pix.
Ele ressalta que a implementação do novo meio de pagamento foi muito rápida. “Por isso estão aprimorando diariamente a capacidade de evitar fraudes e com certeza isso continuará acontecendo durante os próximos meses”, disse.
Para o especialista, os dados contidos nas chaves não são sensíveis. “Não há motivos para supervalorizar o vazamento e desacreditar de um projeto da magnitude do Pix e com todas as suas implicações diretas na vida de toda a população”, ponderou.
Victor Hugo Pereira Gonçalves, presidente da Sigilo, instituto especializado em proteção de dados e segurança da informação, frisou que a chave Pix é um dado pessoal e o seu vazamento constitui infração do artigo 46 da Lei Geral de Proteção de Dados.
“Infelizmente, institucionalmente, o BC e a ANPD [Autoridade Nacional de Proteção de Dados] não tem feito nada, mas a situação é grave e requer atenção. Não está claro dentro das regras do Pix quais são os mecanismos de segurança adotados”, ponderou.
Em sua visão, a estrutura desenvolvida para as chaves é insegura e não gera confiança. “Ela demanda que cada instituição desenvolva sua parte e isso gera risco ainda maior. No caso do Banese talvez tenha sido o desenvolvimento que tenha dado brecha para o vazamento”, afirmou.
Nesta sexta-feira (1º), o presidente do BC, Roberto Campos Neto, afirmou que o aumento das fraudes no Pix está mais relacionado à reabertura da economia do que com as regras aplicadas ao sistema de pagamentos instantâneos.
Em evento virtual promovido pelo Morgan Stanley, ele ressaltou que o BC promoveu mudanças no Pix para evitar fraudes e outros crimes.
“Criamos um novo segmento do Pix só para evitar fraudes. Claro, houve um aumento no número de fraudes, mas isso está mais relacionado à reabertura da economia do que a forma como fazemos”, disse.
Campos Neto se referia às mudanças recentes implementadas pelo BC nas regras do Pix para aumentar a segurança e reduzir a vulnerabilidade dos sistemas às ações de criminosos em fraudes, sequestros e outros crimes.
Foi determinado, por exemplo, o limite de R$ 1.000 para operações em canais digitais com Pix e TED (Transferência Eletrônica Disponível) entre pessoas físicas à noite, que começa a valer em 4 de outubro.
Além disso, na semana passada, o BC publicou norma que permite que o banco retenha uma operação suspeita de fraude por até 72 horas, medida que passa a valer em 16 de novembro.
*
PRINCIPAIS MUDANÇAS SOBRE SEGURANÇA NO PIX
COMO ERA
– Limites: igual ao da TED em qualquer horário
– Operações suspeitas: o banco não podia reter nenhuma operação e a liquidação tinha que ser feita na hora
– Pedido de aumento de limite: cada banco tinha uma política
– Cadastro de contas: não era permitido
COMO FICA
– Limites: padrão de R$ 1.000 entre 20h e 6h, podendo ser modificado pelo cliente; medida também vale para TED e transferência no WhatsApp
– Operações suspeitas: o banco pode reter uma operação suspeita no Pix por 30 minutos durante o dia ou 60 minutos à noite para análise de risco
– Pedido de aumento de limite: o banco deve atender o pedido entre 24 horas e 48 horas após a solicitação
– Cadastro de contas: o cliente pode cadastrar contas previamente no Pix para fazer transações acima do limite estabelecido, mas mantendo o valor para as demais operações; o registro em canal digital deve ser feito 24 horas antes