Na última sexta-feira (29), duas instituições financeiras brasileiras foram vítimas de um ataque cibernético que resultou no desvio de aproximadamente R$ 710 milhões, segundo informações divulgadas nesta terça-feira (2) pela Sinqia, empresa brasileira que fornece tecnologia de conexão entre instituições financeiras e o sistema de Pix. As instituições afetadas foram o banco HSBC e a fintech Artta, sediada em Curitiba.
De acordo com a empresa, os criminosos exploraram uma falha em seus servidores, que se comunicam diretamente com o Banco Central. A rápida detecção do incidente pelo próprio Banco Central permitiu a interrupção da conexão da Sinqia com a rede do Sistema Financeiro Nacional, o que impediu que a invasão se propagasse para outras instituições. Fontes ouvidas pela Folha de S.Paulo afirmam que mais de R$ 589 milhões foram bloqueados a tempo. A Polícia Federal já foi acionada e conduz as investigações, enquanto o Banco Central trabalha para recuperar o montante restante.
Em nota, o HSBC declarou que "nenhuma conta de clientes ou fundos foram impactados, pois as operações ocorreram exclusivamente no sistema do provedor". O banco também ressaltou que "está à disposição das autoridades para colaborar com as investigações".
O episódio evidencia os riscos dos chamados ataques à cadeia de suprimentos (supply chain attacks). Nesse tipo de crime, os criminosos não atacam diretamente a empresa-alvo, mas exploram vulnerabilidades em fornecedores, prestadores de serviços ou parceiros que têm acesso a sistemas ou dados críticos.
Entre os casos mais conhecidos desse tipo de ataque estão o incidente da SolarWinds, em 2020, e ofensivas recentes contra provedores de software e serviços de TI. No Brasil, um exemplo ocorreu em julho, quando a provedora C&M Software também foi alvo de cibercriminosos.
