O Banco Central concluiu o diagnóstico dos principais flancos que permitiram os três ataques hackers contra instituições financeiras no coração do sistema de pagamentos — e prepara medidas para coibir novas investidas dos grupos criminosos.
Os problemas foram detectados em três elos: instituições de pagamento que operam sem licença prévia do próprio Banco Central; fragilidades nas prestadoras de serviços de tecnologia da informação (PSTIs); e as chamadas contas-bolsão, onde transitam recursos sem identificação.
As prováveis soluções devem exigir maiores controles nessas engrenagens do sistema de pagamentos, sem extingui-las. O desafio será dosar as medidas, que provavelmente significam dar um passo atrás na agenda de competição no sistema bancário em nome da segurança.
Um dos problemas que permitiram as fraudes está nas PSTIs, que são empresas de tecnologia que prestam serviços para conectar instituições financeiras de menor porte ao coração do sistema de pagamentos, incluindo as contas que essas instituições mantêm no Banco Central.
Ao todo, existem sete PSTIs em operação, e elas foram determinantes para o sucesso do Pix, ao permitir que instituições menores se integrassem ao sistema com custos mais baixos – e apresentassem várias inovações nos serviços bancários.
Mas os flancos nas PSTIs estão por trás dos dois maiores episódios de fraudes, um no começo de julho e outro na última sexta-feira (29). Há um traço comum em ambos: bandidos ingressaram no sistema de informática e obtiveram as credenciais de instituições financeiras para fazer transferências.
O problema é que as credenciais – que são como chaves que abrem o cofre – não deveriam estar disponíveis nas PSTIs. O sistema funciona com duas credenciais, uma do banco e outra da PSTI. É como a porta de um cofre num banco que precisa de duas chaves para ser aberta, uma do gerente e outra do cliente. Ou seja, com validação nas duas pontas o dinheiro que instituições financeiras mantêm no BC são transferidos.
Algumas instituições financeiras deixaram suas chaves com a PSTI para facilitar pagamentos pré-programados. Os bandidos que violaram o sistema – seja cooptando funcionários ou por meio de programas maliciosos – encontraram as duas credenciais para realizar o roubo.
Houve outras falhas nessa interação entre PSTIs e instituições financeiras. No desvio que ocorreu há dois meses, levou quase cinco horas para detectar e interromper a sangria de recursos. Falharam o alarme e a ação tempestiva para conter o roubo – algo como um vigia que só pega o ladrão quando ele já sai do banco com um saco de dinheiro nas costas.
Outra falha detectada pelo Banco Central foi nas instituições de pagamento. O dinheiro roubado nas fraudes procura os elos mais fracos do sistema de pagamentos para ser lavado e escondido, dentro ou fora do país.
Em 2020, para injetar competição num sistema financeiro muito concentrado, o Banco Central relaxou os requisitos para aceitar que essas instituições de pagamento se integrassem ao sistema de pagamentos instantâneos. Só precisavam de licença prévia para funcionar aquelas que movimentassem mais de R$ 500 milhões por ano.
A maioria dessas instituições presta um bom serviço. Mas há algumas que são operadas pelo crime organizado, por meio de laranjas. Uma parte delas é idônea, mas não possui controles adequados para monitorar e bloquear de forma ágil o trânsito do dinheiro ilegal.
O Banco Central já tomou medidas para corrigir os problemas. Todas as instituições de pagamento terão que obter licença do Banco Central. Mas, como há cerca de 1.500 instituições para serem analisadas – e o Banco Central está com seu quadro de funcionários depauperado –, o cronograma se estende até 2029.
O diagnóstico do Banco Central é que essa lacuna precisa ser resolvida já no curto prazo. E será preciso ter incentivos econômicos para assegurar que as instituições realmente priorizem a vigilância de operações suspeitas.
O terceiro problema identificado pelo Banco Central são as contas-bolsão. Nelas, algumas instituições financeiras reúnem recursos de diferentes clientes, que não são identificados.
Essas contas-bolsão, quando bem usadas, são úteis para reduzir custos de transações. Um exemplo são operações de plataformas de alimentação, que juntam pagamentos de vários clientes para um restaurante e, ao final, transferem o dinheiro de uma vez para esse restaurante. O problema é quando são mal usadas: o expediente foi explorado em lavagem de dinheiro do crime organizado, conforme revelado na megaoperação da semana passada contra crimes no setor de combustíveis.
Um ponto importante do diagnóstico foi constatar que o problema não é exclusivo do Pix. O último ataque, nesta terça-feira (2), envolveu o Sistema de Transferência de Reservas (STR), por onde os bancos movimentam as Transferências Eletrônicas Disponíveis (TED).