A Sinqia, empresa responsável por conectar bancos ao sistema PIX, confirmou que o ataque hacker sofrido em seus sistemas na última sexta-feira (29) resultou no desvio de cerca de R$ 710 milhões em transações irregulares. Entre as instituições atingidas estão o HSBC, com perdas aproximadas de R$ 670 milhões, e a fintech Artta, impactada em cerca de R$ 41 milhões.
Os dados constam em relatório da Evertec, controladora da Sinqia, encaminhado à SEC (Comissão de Valores Mobiliários dos Estados Unidos). O Banco Central conseguiu bloquear aproximadamente R$ 589 milhões, o equivalente a 83% do valor total desviado.
Apesar do ataque, a companhia reforçou que a infraestrutura central do PIX não foi afetada, permanecendo em operação normal. A invasão se restringiu aos servidores da própria Sinqia, responsáveis pela comunicação com o Banco Central. Assim que a tentativa de acesso foi detectada, o Bacen suspendeu a conexão da empresa com a rede do sistema financeiro.
Segundo o relatório à SEC, ao identificar atividades suspeitas em seu ambiente PIX, a Sinqia interrompeu o processamento de transações e iniciou, em conjunto com especialistas externos, uma apuração detalhada do caso. A medida faz parte do protocolo de resposta a incidentes já previsto pela empresa.
Como aconteceu o ataque?
De acordo com a Evertec, os resultados preliminares da apuração apontam que as transações fraudulentas que impactaram as duas instituições financeiras foram inseridas no ambiente PIX da Sinqia por meio da exploração de credenciais pertencentes a fornecedores legítimos de tecnologia da informação (TI) da companhia.
O episódio guarda semelhança com um dos maiores ataques cibernéticos já registrados no país, ocorrido em julho. Na ocasião, a C&M Software (CMSW) — responsável por conectar bancos de menor porte ao PIX do Banco Central — sofreu uma invasão em suas infraestruturas.
