Home Brasil Segurança do PIx não foi afetada, dizem analistas

Mesmo diante do aumento de ataques cibernéticos direcionados às instituições financeiras que atuam no
ecossistema do Pix, especialistas em cibersegurança mantêm a convicção de que as estruturas do sistema de
pagamento instantâneo criado pelo Banco Central (BC) não estão comprometidas. Inabalada também, dizem, está a
reputação do Sistema Financeiro Nacional (SFN). No entanto, os desdobramentos desses ataques acenderam alertas
sobre a criticidade da assimetria de maturidade da governança e dos sistemas de segurança entre os participantes
do Pix.

Eduardo Lopes, presidente da Zetta, associação que reúne empresas de tecnologia atuantes no mercado financeiro e de meios de pagamento, valoriza o fato de não haver invasão direta aos sistemas operados pelo Banco Central. Lopes considera que as normas editadas pelo regulador na primeira quinzena de setembro têm a eficácia necessária para preservar a robustez do sistema financeiro. Entre as medidas, ele destaca o aumento dos requerimentos de governança e gestão de riscos para os provedores de serviços de tecnologia da informação (PSTIs).

“Entendemos que o SFN segue robusto. Em nenhum desses casos, houve uma invasão direta aos sistemas operados
pelo Banco Central. Isso ocorreu especificamente nos sistemas de determinadas instituições, que utilizam
provedores de serviços de tecnologia da informação (PSTIs) para se conectarem aos sistemas do BCB”, diz Lopes.

Alberto Leite, CEO do Grupo FS, observa que o Pix mantém a tradição do sistema financeiro brasileiro de ser
reconhecido pela robustez tecnológica e por investimentos massivos e recorrentes em segurança. A diferença está
na ampliação da superfície de ataque. “Como inovação, o Pix manteve essa tradição, mas ampliou a superfície de
ataque ao trazer centenas de novos participantes, muitos sem a mesma maturidade de segurança dos grandes
bancos”, afirma o executivo.

Na avaliação de Leite, os PSTIs se tornaram o alvo preferencial dos ciberataques, o que reforça a urgência de
operarem com a mesma disciplina de um banco. “Isso significa infraestrutura segregada, acessos administrativos
com autenticação multifator, sistemas sempre atualizados, auditorias de segurança regulares e monitoramento
contínuo de logs e transações”, ressalta Leite.

Fernando De Falchi, gerente de engenharia de segurança da Check Point Software Brasil, observa que os ataques se
tornaram mais sofisticados e a maior integração no sistema financeiro – a partir da adoção do Pix, desenvolvimento
do open finance, e, consequentemente, a utilização de Interfaces de Programação de Aplicações (APIs) abertas  evidencia a assimetria de maturidade dos processos. “Entraram novos atores, instituições menores, muitas vezes sem o mesmo nível de maturidade em segurança dos grandes bancos ou os bancos mais antigos”, diz.

Falchi enxerga infraestruturas frágeis, muitas vezes terceirizadas, sem visibilidade em tempo real, o que exponencia
falhas em governança e testes de segurança, cenário agravado por ausência de planos de respostas a incidentes.
Danilo Roque, responsável pelas práticas de tecnologia, inovação e proteção de dados do FAS Advogados, observa
que, em alguns dos ataques recentes, não havia controles como segregação de ambientes e monitoramento de
acessos privilegiados. “Quando há terceiros envolvidos, esses controles nem sempre são implementados com a
robustez necessárias”, diz.

E não basta pensar em tecnologia, é preciso reforçar ações em processos e pessoas, para inibir ações pela
engenharia social. “A gente precisa tratar a segurança como a parte estratégica do negócio com monitoramento
contínuo, validação constante de controles, autenticação forte, segmentação de ambientes, auditorias frequentes”,
afirma Falchi.

Os investimentos em segurança serão ainda mais determinantes para atuação no ecossistema Pix, na visão de
Rodolfo Ramponi, especialista em cibersegurança da Sonda do Brasil. “As instituições que investem em estratégias
completas de proteção do ciclo de vida das chaves, autenticação multifator e auditoria constante, transmitem mais
confiança ao mercado, blindando sua reputação diante de possíveis incidentes de grande escala”, afirma Ramponi.
O antídoto para a assimetria de maturidade está em regras mais rígidas, diz Fabio Montanari, CEO da Montanari
Tecnologia. “A resposta é nivelar por cima, com regras mais duras do BC, integração com padrões de segurança
uniformes, monitoramento em tempo real e coordenação rápida para bloqueio e investigação. Isso preserva a
confiança no Pix sem penalizar o usuário final”, afirma.

Thiago da Cruz, CEO da 87LABS, enfatiza que a segurança deve ser uma preocupação de todos envolvidos. “Começa
no regulador, passa pelos prestadores de serviço e chega até quem movimenta o dinheiro. Esse movimento é
positivo porque eleva a responsabilidade de todos os elos da cadeia”, diz. Com informações do portal Valor Econômico.