Ninguém precisou forçar o acesso a nenhum sistema, senha
alguma teve de ser adivinhada. As falhas de segurança, que certamente
existiram, até aqui não parecem ter sido do Banco Central
Quando alguém fala de qualquer crime envolvendo hackers, é
inevitável que nos venha a imagem: um rapaz branquelo, espinhas no rosto,
moletom de capuz e longas horas diante do computador. Pizzas, refrigerantes,
energéticos. O desvio de dinheiro pelo sistema Pix ocorrido na
semana passada, com perdas de R$ 400 milhões ou mais, não envolveu o
estereótipo. A ação foi profissional, feita por quem sabia exatamente o que
fazia e, principalmente, limpa. Ninguém precisou forçar o acesso a nenhum
sistema, senha alguma teve de ser adivinhada. As falhas de segurança, que
certamente existiram, até aqui não parecem ter sido do Banco
Central.
Para que o Pix funcione e possamos fazer transferências
imediatas, saindo da minha conta e entrando na sua, é preciso que três
componentes distintos funcionem. Primeiro, as Contas de Pagamentos
Instantâneos, ou Contas PI. Depois, o SPI, Sistema de Pagamentos Instantâneos.
Por fim, o DICT, Diretório de Identificadores de Contas Transacionais.
Contas PI são grandes contas que os bancos
precisam manter no Banco Central. São contas mesmo, como as que temos em nossas
agências. Mas, lá, fica um volume grande de dinheiro que pertence aos próprios
bancos. O dinheiro que entra e sai durante o dia, a cada Pix que alguém passa
no país, só é movimentado realmente nessas contas, do Itaú, do Bradesco, do
Santander, do Banco do Brasil e por aí vai. Caso alguém peça para que um valor
saia de uma conta corrente no Bradesco para outra no BB, o dinheiro vai da Conta
PI de um banco para a do outro.
A plataforma tecnológica que faz todas essas operações e sai
ajustando os saldos instantaneamente é o SPI. É como um grande programa de
computador, tão robusto quanto ágil, capaz de passar o dia gerenciando que
dinheiro sai de onde e para onde vai. Para que funcione, depende do DICT, o
banco de dados onde estão todas as chaves Pix. Nossos emails, CPFs e o que mais
for usado para identificar nosso endereço bancário. O SPI usa o DICT para dar
as ordens de transação.
No Brasil das fintechs e cooperativas, vários desses
pequenos bancos digitais não têm tecnologia o suficiente para conduzir a
operação de Pix. Os bancos grandes têm. Muitos miúdos, não. Terceirizam. Usam
empresas capazes de operar a plataforma SPI. Assim como se servem de outras
companhias, que mantêm Contas PI no Banco Central. Nem todo banco tem uma conta
só sua, precisa de serviços de terceiros.
O problema foi aí. Uma das empresas mostrou ter um buraco em
sua segurança: a C&M software. Ela não é um banco, mas uma provedora de
tecnologia. Seu trabalho é conectar quem não tem tecnologia ao SPI. São 22
instituições. De acordo com a Polícia Federal, um funcionário da C&M foi
subornado para criar login e senha para que a quadrilha pudesse também se
conectar à plataforma. A primeira falha de segurança foi essa. Alguém com o
poder de dar acesso ao sistema pôde ser convencido a abusar dele.
Ainda assim, não bastaria estar no SPI. Afinal, o dinheiro
precisava sair de uma Conta PI e entrar noutra, dentro do Banco Central, sem
disparar qualquer alarme de segurança nem no banco de que a grana sai, nem
naquele em que entra. Porque os bancos devem ter controles — e têm — para
enxergar transações fora da rotina.
Ora, se alguém que costuma mexer com centenas de reais por
dia de repente recebe milhões, é estranho. Se, ao receber aqueles milhões, faz
uma transferência imediata para cripto, dólar, o que for, é ainda mais
estranho. Bancos grandes se protegem. Os pequenos, agora descobrimos, nem
sempre.
A Conta PI de onde saíram as centenas de milhões, talvez
mais, era de outra empresa: a BMP Money Plus. Ela não é propriamente um banco,
mas faz o papel de um. É ela que gerencia as transações, detém a conta no BC
para que boa parte dos bancos digitais possam operar. Pelo que sabemos até
agora, foi dela o pior prejuízo.
O que o criminoso fez foi usar o SPI para dar uma ordem de
transferência a centenas, talvez milhares de contas. O dinheiro deveria ser
transferido a partir da Conta da BMP no Banco Central. Mas não havia informação
de onde aquele volume precisava vir. Não saiu da conta corrente de ninguém. Só
entrou na dos outros. Alguns dos bancos receptores perceberam que aqueles
volumes, no meio da madrugada, eram estranhos. Barraram. Mas nem todos.
A investigação ainda está em curso.
Nenhum comentário:
Postar um comentário