Ninguém precisou forçar o acesso a nenhum
sistema, senha alguma teve de ser adivinhada. As falhas de segurança, que
certamente existiram, até aqui não parecem ter sido do Banco Central
Quando alguém fala de qualquer crime
envolvendo hackers, é inevitável que nos venha a imagem: um rapaz branquelo,
espinhas no rosto, moletom de capuz e longas horas diante do computador.
Pizzas, refrigerantes, energéticos. O desvio de dinheiro pelo sistema Pix ocorrido na
semana passada, com perdas de R$ 400 milhões ou mais, não envolveu o
estereótipo. A ação foi profissional, feita por quem sabia exatamente o que
fazia e, principalmente, limpa. Ninguém precisou forçar o acesso a nenhum
sistema, senha alguma teve de ser adivinhada. As falhas de segurança, que
certamente existiram, até aqui não parecem ter sido do Banco
Central.
Para que o Pix funcione e possamos fazer transferências imediatas, saindo da minha conta e entrando na sua, é preciso que três componentes distintos funcionem. Primeiro, as Contas de Pagamentos Instantâneos, ou Contas PI. Depois, o SPI, Sistema de Pagamentos Instantâneos. Por fim, o DICT, Diretório de Identificadores de Contas Transacionais.
Contas PI são grandes contas que os bancos
precisam manter no Banco Central. São contas mesmo, como as que temos em nossas
agências. Mas, lá, fica um volume grande de dinheiro que pertence aos próprios
bancos. O dinheiro que entra e sai durante o dia, a cada Pix que alguém passa
no país, só é movimentado realmente nessas contas, do Itaú, do Bradesco, do
Santander, do Banco do Brasil e por aí vai. Caso alguém peça para que um valor
saia de uma conta corrente no Bradesco para outra no BB, o dinheiro vai da Conta
PI de um banco para a do outro.
A plataforma tecnológica que faz todas essas
operações e sai ajustando os saldos instantaneamente é o SPI. É como um grande
programa de computador, tão robusto quanto ágil, capaz de passar o dia
gerenciando que dinheiro sai de onde e para onde vai. Para que funcione,
depende do DICT, o banco de dados onde estão todas as chaves Pix. Nossos
emails, CPFs e o que mais for usado para identificar nosso endereço bancário. O
SPI usa o DICT para dar as ordens de transação.
No Brasil das fintechs e cooperativas, vários
desses pequenos bancos digitais não têm tecnologia o suficiente para conduzir a
operação de Pix. Os bancos grandes têm. Muitos miúdos, não. Terceirizam. Usam
empresas capazes de operar a plataforma SPI. Assim como se servem de outras
companhias, que mantêm Contas PI no Banco Central. Nem todo banco tem uma conta
só sua, precisa de serviços de terceiros.
O problema foi aí. Uma das empresas mostrou
ter um buraco em sua segurança: a C&M software. Ela não é um banco, mas uma
provedora de tecnologia. Seu trabalho é conectar quem não tem tecnologia ao
SPI. São 22 instituições. De acordo com a Polícia Federal, um funcionário da
C&M foi subornado para criar login e senha para que a quadrilha pudesse
também se conectar à plataforma. A primeira falha de segurança foi essa. Alguém
com o poder de dar acesso ao sistema pôde ser convencido a abusar dele.
Ainda assim, não bastaria estar no SPI.
Afinal, o dinheiro precisava sair de uma Conta PI e entrar noutra, dentro do
Banco Central, sem disparar qualquer alarme de segurança nem no banco de que a
grana sai, nem naquele em que entra. Porque os bancos devem ter controles — e
têm — para enxergar transações fora da rotina.
Ora, se alguém que costuma mexer com centenas
de reais por dia de repente recebe milhões, é estranho. Se, ao receber aqueles
milhões, faz uma transferência imediata para cripto, dólar, o que for, é ainda
mais estranho. Bancos grandes se protegem. Os pequenos, agora descobrimos, nem
sempre.
A Conta PI de onde saíram as centenas de
milhões, talvez mais, era de outra empresa: a BMP Money Plus. Ela não é
propriamente um banco, mas faz o papel de um. É ela que gerencia as transações,
detém a conta no BC para que boa parte dos bancos digitais possam operar. Pelo
que sabemos até agora, foi dela o pior prejuízo.
O que o criminoso fez foi usar o SPI para dar
uma ordem de transferência a centenas, talvez milhares de contas. O dinheiro
deveria ser transferido a partir da Conta da BMP no Banco Central. Mas não
havia informação de onde aquele volume precisava vir. Não saiu da conta
corrente de ninguém. Só entrou na dos outros. Alguns dos bancos receptores
perceberam que aqueles volumes, no meio da madrugada, eram estranhos. Barraram.
Mas nem todos.
A investigação ainda está em curso.
Nenhum comentário:
Postar um comentário