Drex em segundo plano: Crise de segurança com hacks no PIX força BC a rever agenda de inovação

Após uma série de ataques que resultaram em desvios de mais de R$ 1 bilhão de empresas que operam a infraestrutura do Pix, o Banco Central (BC) vai concentrar esforços para fortalecer a segurança do sistema de pagamentos instantâneos.

Diante das restrições orçamentárias do BC, o restante da agenda de inovação deve ficar em segundo plano, segundo reportagem do O Globo. Até mesmo a implementação das novas funções do Pix poderá ser adiada. Com isso, o desenvolvimento do Drex, cujo piloto passará por uma revisão estratégica na próxima fase, não será prioridade.

Em recente apresentação na abertura da Blockchain Rio, Gabriel Galípolo, presidente do BC, mencionou o alto custo de manutenção do Pix e a necessidade de aprovação da Proposta de Emenda Constitucional (PEC) nº 65/2023, que confere autonomia orçamentária, financeira, administrativa e técnica à instituição.

A PEC desvincula o orçamento do BC dos repasses da União, transformando a autarquia em uma empresa pública capaz de usar suas próprias receitas para financiar despesas, sem depender do governo.

Na prática, a aprovação da PEC garantiria maior eficiência e estabilidade para a gestão do BC, permitindo investimentos em inovação tecnológica e uma resposta mais ágil a crises como as enfrentadas recentemente. Além disso, fortalece a independência do Banco Central frente a interferências políticas.

• Brasil é referência do Citi para criação de 'Pix Global' com tokenização e stablecoins

No entanto, a PEC enfrenta resistência do governo e não deve ser aprovada no curto prazo.

Ataques ao Pix superaram US$ 1 bilhão no período de um mês

Em um intervalo de um mês, empresas que prestam serviços de infraestrutura ao sistema de pagamentos instantâneos do BC foram alvo de ataques que causaram prejuízos superiores a US$ 1 bilhão.

Na sexta-feira, 29 de agosto, um ataque cibernético desviou R$ 710 milhões da Sinqia, uma empresa que conecta instituições financeiras ao Pix. Com o uso de credenciais de fornecedores da empresa, os criminosos acessaram as contas de pagamento do HSBC e da fintech Artta.

Em nota à imprensa, o HSBC confirmou as transações vinculadas à conta do provedor de serviços, mas garantiu que recursos de clientes ou fundos de investimento não foram afetados. A Artta informou que R$ 40 milhões foram sacados de sua conta junto ao BC para liquidação de pagamentos via Pix e abriu um canal de atendimento para esclarecer dúvidas dos clientes.

O BC conseguiu bloquear R$ 589 milhões, minimizando as perdas, enquanto o prejuízo restante será coberto por seguro. A Sinqia foi temporariamente desconectada do sistema do Pix, afetando as 24 instituições financeiras a que atende.

• CIO da Hashdex prevê Ethereum a US$ 10.000, mas Bitcoin pode frear alta

Anteriormente, em 30 de junho, um ataque ao sistema da C&M Software (CMSW) resultou em perdas estimadas em pelo menos R$ 778 milhões. Assim como no caso da Sinqia, os criminosos usaram credenciais legítimas de um funcionário da própria empresa, que teria colaborado com o ataque mediante pagamento de R$ 15.000.

Segundo a C&M Software, as credenciais foram usadas indevidamente para invadir o sistema, que fornece APIs e acesso direto às mensagens de Pix, TED, DDA e outros arranjos do Sistema de Pagamentos Brasileiro (SPB), garantindo comunicação entre bancos, fintechs e o BC.

O ataque hacker atingiu contas de reserva de pelo menos seis instituições financeiras conectadas à C&M Software. Essas contas são mantidas por bancos e instituições financeiras junto ao BC para transferências de recursos, garantia de obrigações e operações interbancárias.

Os sucessivos ataques pressionam o BC a tomar medidas urgentes para evitar novos incidentes, priorizando o aprimoramento da segurança do sistema financeiro nacional.

No modelo atual, operações críticas estão sendo realizadas por empresas como a C&M Software e a Sinqia sem que haja salvaguardas compatíveis com os riscos ao sistema.

Entre as medidas estudadas está a diferenciação no tratamento das transações em função dos valores movimentados. Nesses casos, transferências de grandes valores deixariam de ser instantâneas para que seja possível analisar se são lícitas ou não.

A migração para um modelo “zero trust” (confiança zero) também é defendida por especialistas do setor. Nesse modelo, as transações são compartimentadas e eventuais danos ficam limitados a volumes menores.

• Itaú Asset cria nova divisão de criptoativos sob liderança de ex-Hashdex para acelerar expansão de portfólio

Drex passa por revisão estratégica

Os incidentes de segurança envolvendo o Pix ocorrem em um momento em que o BC sinaliza um recuo no Piloto Drex, a moeda digital de banco central brasileira (CBDC).

O objetivo imediato do BC é criar mecanismos para facilitar o acesso ao crédito, com uma entrega rápida e funcional para os usuários finais, como afirmou Fabio Araujo, coordenador do Drex, durante o Blockchain Rio.

Conforme noticiado pelo Cointelegraph Brasil, na semana passada, Araujo afirmou também que o BC pretende testar soluções de tokenização “mais confortáveis do ponto de vista regulatório”, sem o uso de tecnologias de registro distribuído (DLT).