As lideranças do Banco Central do Brasil anunciaram hoje (05), em entrevista coletiva, que a autoridade estabeleceu novas regras de atuação de Instituições de Pagamentos (IPs) e Provedores de Serviços de Tecnologia de Informação (PSTI), como forma de reduzir riscos de novos incidentes como os que ocorreram nos últimos meses. As novas medidas devem entrar em vigor a partir da publicação do próximo Diário Oficial da União, marcada para ocorrer às 21h de hoje.
De acordo com o Presidente do Bacen, Gabriel Galípolo, a medida mais importante é o limite de transferência de R$ 15 mil por operações de Pix e TED. Essa restrição está direcionada a IPs ainda não autorizadas ou instituições que operem no sistema do BC por meio de PSTIs. Qualquer transação que seja acima do limite estabelecido será automaticamente bloqueada pelo banco.
“O que assistimos nos últimos meses foi que boa parte dessas tentativas de fraude aconteceram contando com valores bastante altos nas transações. Por isso, impor esse limite forçará que qualquer atacante precise fazer mais transferências para tentar desviar o dinheiro, o que é mais facilmente capturado pelos sistemas de Segurança do Bacen”, explica Galípolo.
De acordo com estimativas trazidas pelos executivos do Bacen, o impacto dessa nova restrição sobre as transações cotidianas do país será mínimo, pois 99% das transações de pessoas jurídicas, que naturalmente transferem quantias maiores, estão abaixo dos R$ 15 mil estipulados. Além disso, espera-se que apenas 3% das contas do sistema financeiro sejam atingidas.
Novas restrições à IPs e PSTIs
Além disso, as Provedoras de TI terão que seguir outros controles do Banco Central para poderem seguir ativos no ecossistema do órgão: será necessário comprovar um capital mínimo de R$ 15 milhões e estar obrigatoriamente credenciado com os requisitos de Segurança e Governança do BC. Em caso de descumprimento, a PSTI pode ser descredenciada.
“Os Prestadores de Serviços de TI, por não constarem como instituições financeiras, não estavam debaixo da supervisão do Banco Central. Porém, conforme mais instituições optaram por terceirizar esse serviço, vimos cada vez mais delas transferindo a governança a esse terceiro. Logo, as PSTIs se constituíram como infraestrutura crítica, que exigem novas normas para atuarem com Segurança”, acrescenta o Presidente do Bacen.
Por fim, no caso das Instituições de Pagamento, nenhuma delas poderá atuar sem autorização explícita do Banco Central do Brasil, e novas demandas de Segurança digital serão exigidas para serem regularizadas no Sistema Financeiro Brasileiro, podendo requerer certificações técnicas em casos específicos. Nesse sentido, a autoridade monetária pretende adiantar o cronograma de inclusão de novas IPs de dezembro de 2029 para maio do próximo ano.
A liderança do Bacen também informou que novas regras de coerção a contas laranja, além de regulamentos para criptoativos e Banking as a Service (BaaS) e maior reforço à atuação do Conselho de Controle de Atividades Financeiras (Coaf). “Sabemos que o processo de inovação no meio financeiro é dinâmico, e por isso, precisamos avançar com novas normas para proativamente responder a esses riscos”, concluiu Galípolo.
Reação aos incidentes
A ação do Banco central visa preencher as brechas de Segurança existente no ecossistema financeiro nacional, após a ocorrência de ao menos três incidentes cibernéticos de grandes proporções nos últimos dois meses. O mais impactante atingiu a C&M Softwares, em julho, quando o comprometimento de uma credencial expôs o acesso às contas reservas do Pix de diversos bancos que utilizam os serviços dessa PSTI.
Semanas depois, em agosto, foi a vez da Sinqia, uma fornecedora de sistemas bancários não incluída nos sistemas do Bacen. Nesse caso, porém, o modus operandi do ataque foi bastante similar, segundo os CISOs do grupo Security Leaders: impacto em uma fornecedora terceirizada para gerar acessos e vazamento dos recursos financeiros da instituição contratante.
Um terceiro caso, de menor proporção se deu ainda nessa semana, quando A fintech Monbank, especializada em serviços de crédito consignado, afirmou, por meio de nota em seu portal oficial, que foi alvo de um incidente cibernético contra as suas infraestruturas digitais. Devido ao ataque, foram desviados R$ 4,9 milhões das contas de reserva do órgão.
