Após ataques de hackers, BC anuncia limites para transferências via PIX e regras mais rígidas para autorização de novas instituições
O Banco Central (BC) considerou nesta quarta-feira (12) que não há “risco relevante” para a estabilidade financeira no país, levando em conta que o sistema brasileiro permanece com “capitalização e liquidez confortáveis e provisões adequadas ao nível de perdas esperadas”.
Além disso, informou que os chamados “testes de estresse de capital e de liquidez (simulações feitas pelo BC com base em cenários alternativos) demonstram a robustez do sistema bancário”.
As informações constam no Relatório de Estabilidade Financeira do primeiro semestre deste ano.
Criminosos com ‘conhecimento avançado’
Entretanto, a autoridade monetária avaliou que incidentes ocorridos em empresas que prestam serviços tecnológicos para instituições financeiras trazem “preocupações concretas sobre a possibilidade de materialização de eventos com repercussão para o sistema financeiro nacional”.
“Eventos recentes exigiram conhecimento avançado sobre a operação do sistema financeiro nacional”, informou o BC.
“As táticas, técnicas e procedimentos dos criminosos na execução de ataques cibernéticos indicam que esses grupos possuem conhecimento avançado sobre a operação, a organização e os processos, incluindo o conhecimento sobre aspectos específicos da arquitetura dos sistemas das instituições atacadas e das atividades desenvolvidas por pilotos de reserva dessas instituições”, prosseguiu.
Celular, smartphone, internet, crime cibernético (imagem ilustrativa)
Gilles Lambert / Unsplash
Fragilidades das instituições financeiras e de pagamento
O BC observou que os incidentes mais impactantes foram caracterizados pelo ataque a provedores de serviços de tecnologia da informação (PSTI) — que são empresas importantes para a prestação de serviços de processamento de dados e de conectividade, que podem ser contratadas por instituições financeiras e de pagamento.
“Incidentes relevantes nesse tipo de empresa podem comprometer simultaneamente a operação de um conjunto de instituições”.
“Os incidentes demonstraram fragilidades relacionadas a controles essenciais de instituições, como a gestão dos riscos associados a serviços providos por terceiros e as práticas de controle de acessos, bem como em serviços providos por meio de API [protocolos que permitem que sistemas se comuniquem entre si, possibilitando sua integração]”, acrescentou o BC.
Os incidentes revelaram, segundo o BC, que algumas instituições financeiras não possuíam controles adequados para a gestão do risco de serviços providos por terceiros.
A instituição identificou que, entre 606 instituições pesquisadas:
453 informaram dispor de procedimentos para a gestão do relacionamento com terceiros;
317 reportaram que esse processo é avaliado pela segunda linha;
319 informaram que o tema é escopo dos trabalhos de sua auditoria interna.
“O percentual de instituições pesquisadas que implementam as atividades tipicamente realizadas para a gestão do relacionamento com terceiros demonstra que é necessário aprimorar esse processo”, concluiu.
Eventos registrados
Em setembro, após ataques de hackers a instituições financeiras, o BC anunciou medidas para reforçar a segurança do sistema financeiro.
Entre elas, limites menores de transferência via PIX e TED, obrigatoriedade de aprovação prévia, pelo BC, para entrada de novas instituições no sistema financeiro e confirmação de “certificação técnica” para operar no sistema.
No começo deste setembro, a fintech Monbank informou que foi alvo de um ataque hacker que resultou no desvio de R$ 4,9 milhões. Segundo a instituição, nenhuma conta de clientes foi comprometida, e R$ 4,7 milhões já foram recuperados.
Também em setembro, a Sinqia, empresa responsável por conectar bancos ao sistema PIX, informou que um ataque hacker provocou o desvio de aproximadamente R$ 710 milhões em transações não autorizadas.
Em julho, o Banco Central informou que a C&M Software — empresa que presta serviços tecnológicos e conecta instituições financeiras ao BC — comunicou ter sido alvo de um ataque à sua infraestrutura.
Megaoperação realizada no fim de agosto para desarticular um esquema criminoso bilionário no setor de combustíveis identificou o uso de ao menos 40 fundos de investimento e diversas fintechs.
“O crime organizado tem cooptado colaboradores das instituições financeiras, instituições de pagamento ou prestadores de serviço contratados por elas, o que reforça a importância de implementar práticas de higiene cibernética e coibir falhas no controle de acesso”, avaliou o Banco Central.
O Banco Central identificou que é necessário avançar em atividades como:
revisar periodicamente os acessos configurados;
utilizar autenticação multifator, em especial, para atividades como as conduzidas por pilotos de reserva;
controlar o acesso no nível de porta, “Network Access Control”.
Fonte: g1 > Economia