O mega ataque “hacker” que atingiu a C&M Software, empresa que presta serviços de infraestrutura a bancos pequenos e “fintechs”, e provocou o desvio de centenas de milhões de reais de contas de liquidação ligadas ao Banco Centra, em especial ao Pix, mostra que não apenas o INSS e seus segurados estão expostos aos golpes de espertalhões. Todos os bancos e pequenas instituições de pagamento (que atendem os setores de comércio e serviços com maquininhas de faturamento e operam como bancos) estão vulneráveis.

Sobretudo as de pequeno porte ou que não dispõem de sofisticados sistemas de computação à prova de fraudes, como os grandes bancos, e precisam recorrer a terceiros, como a C&M que atua como Provedora de Serviços de Tecnologia da Informação (PSTI) - um elo entre instituições financeiras e os sistemas do Banco Central. A C&M opera APIs de integração com o Pix, TED e outras operações do SPB, o que permite que bancos menores e “fintechs” se conectem indiretamente à autoridade monetária.

Por coincidência estão entre os bancos lesados o Paulista, o Carrefour e o Credsystem, todos dependentes de serviços de apoio de terceiros. Embora o Banco Central informe que os dados de clientes não tenham sido comprometidos, o caso expôs vulnerabilidades na arquitetura digital que conecta instituições financeiras ao Pix e ao Sistema de Pagamentos Brasileiro (SPB). A estimativa inicial do prejuízo é de R$ 800 milhões, mas fontes próximas à investigação falam em valores que podem ultrapassar R$ 3 bilhões, tornando este o maior ataque cibernético já registrado contra o Sistema Financeiro Nacional (SFN).

Não é mera coincidência que os sucessivos vazamentos de chaves do Pix tenham se concentrado junto ás “fintechs”, que operam como instituições de pagamento, captam recursos e os reemprestam, como se bancos fossem, mas não têm autorização para atuar como banco. O Nubank (onde iniciou atividades na diretoria esta semana o ex-presidente do Banco Central, Roberto Campos Neto), é um caso típico. Embora tenha até mais “correntistas” que o Itaú, não é banco, tanto que usa o nome real Nu - serviços financeiros. O XP também foi alvo de fraudes no fim dos anos passado e este ano, mas, apesar de negar ter havido danos aos clientes, reforçou a campanha de “marketing”.

O avanço da automação

Desde os anos 50, os grandes bancos do país e o SFN foram recorrendo ao uso maciço de computação para automatizar serviços e evitar fraudes internas. Até o fim da década passada era comum a descoberta de gerentes que operavam “agências paralelas”, por falta de controle total das operações. Ficaram famosas duas fraudes: uma na agência central do antigo Banco Real, na esquina de Rio Branco com Presidente Vargas (hoje Santander) e outra, numa agência do Unibanco, no Centro do Rio onde um dos logrados foi o ex-jogador Júnior, do Flamengo. Hoje, além dos golpes via celular, existem as armadilhas de clonagem dos cartões nos caixas eletrônicos.

Em nota, o BC informou que a C&M comunicou o ataque e está colaborando com as investigações. Mas, a medida afetou a conexão de 293 instituições ao sistema de pagamentos, segundo dados do próprio Banco Central. Na ação, os criminosos usaram indevidamente credenciais de instituições financeiras com o intuito de acessar contas de reserva no Banco Central (BC), por meio do Pix

Uma parte fundamental para conter a fraude são as barreiras de segurança no sistema financeiro para bloquear e impedir que o dinheiro encontrasse seu caminho no sistema financeiro doméstico e, depois, no exterior. O Banco Central tem poderes para fiscalizar apenas parte desse caminho. Há “fintechs” de pequeno porte que não são submetidas às regras

A BMP confirmou a movimentação indevida de sua conta reserva, mas garantiu que nenhum recurso de correntistas foi comprometido. O Banco Paulista, também atingido, afirmou que houve apenas uma interrupção temporária no Pix, sem vazamento de dados.

Ainda não há um número exato de bancos afetados nem confirmação sobre o total do prejuízo, mas o caso já acendeu o alerta entre reguladores, bancos e empresas de tecnologia. Autoridades avaliam a possibilidade de revisar protocolos de segurança e a supervisão sobre PSTIs, que se tornaram elo essencial no sistema financeiro com a digitalização dos meios de pagamento.

Mas já em curso no mercado financeiro, entre as “fintechs” de transferir ao Banco Central o ônus de ampliar o circuito de segurança do Pix, sob a alegação de que o BC está ganhando dinheiro com o Pix e precisar prestar serviços em troca. Mas, para tanto reforçaram o “lobby” da PEC para a Independência Financeira do Banco Central ao Tesouro Nacional.

Ou seja, se o BC ganha dinheiro que gaste para atender o SFN. Só que a recíproca não é verdadeira quando os juros sobem e aumentam os lucros dos bancos e os rentistas, mas o Ministério da Fazenda (TN) não pode buscar um pouco de volta via elevação das alíquotas do IOF ou do IR sobre títulos isentos.

E os 'roubos no varejo'

Essas operações com “hackers” são os chamados “roubos” no atacado. Mas os de varejo, perpetrados nas agências por gerentes ou caixas expertos. No tempo das filas em frente ao caixa (que rarearam após a pandemia, quando as operações foram transferidas para o celular, sem que os bancos deixassem de cobrar a cesta de tarifas, que inclui talões de cheque (não sei o seu caso, leitor; não uso há cinco anos)...

Mas. e os contratos leoninos aos pequenos empresários? Tenho um amigo que fechou a firma há quatro anos e descobriu agora que o banco continuava a cobrar mensalidade de R$ 550 como se ainda estivesse ativa. São R$ 6.600 por ano cobrados desnecessariamente há quatro anos. Pergunta se o gerente tão diligente a empurrar um seguro ou o título de capitalização? Isso era comum nas filas dos caixas, quando idosos traziam contas de luz e telefone ainda por abrir nos envelopes e contavam com o atendimento dos caixas “solícitos” enquanto negociavam um PIN, um pé quente ou outro nome fantasia na boca do caixa.