O Banco Central do Brasil publicou neste final de semana duas novas resoluções com o objetivo de reforçar a Segurança Cibernética do Pix. As publicações 506 e 507 visam, respectivamente, alterar o regulamento do meio de pagamento automático e estabelecer um Manual de Penalidades que permita ao Bacen tomar medidas restritivas contra ações fraudulentas.
O novo processo de penalização, segundo nota publicada pela autoridade monetária, foram criados padrões punitivos com vistas a responder a descumprimentos das regras de menor potencial lesivo. Essas restrições incluem tanto uma advertência direcionada quanto a cobrança de multa. Também será possível, a partir de agora, distribuir penalidades financeiras em faixas condizentes com a capacidade econômica do participante do Pix.
O Manual de Penalidades também estabelece que a reincidência nos descumprimentos de regras ordenadas pelo Banco Central podem sujeitar a instituição a um aumento no grau de penalidade, mesmo que o potencial lesivo seja menor. Nesse sentido, é possível aplicar penas de exclusão direcionada à organização que repetidamente sofreu sanções por meio de multas.
“O Manual de Penalidades do Pix é o instrumento do Regulamento do Pix que disciplina os parâmetros para aplicação de penalidades e o rito a ser observado. O novo manual traz aperfeiçoamentos no procedimento e nos critérios aplicáveis às penalidades. O documento contempla novos parâmetros que conferem ao BCB capacidade para aplicar medidas efetivas, proporcionais e dissuasivas”, explica ainda o comunicado do BC.
Em casos de descumprimento de maior potencial lesivo, as empresas participantes do pagamento instantâneo também poderão ser excluídos do sistema. O Bacen também deverá traçar limites sobre o valor máximo de penalidades de multas a um único participante em um processo de apuração de descumprimento.
Reforma no regulamento do Pix
A partir das duas novas resoluções, o Regulamento do Pix mantido pelo Bacen também foi atualizado. Agora, todo participante que não obedecer à exigência de patrimônio líquido mínimo de R$5 milhões perderá a condição de participante do serviço automático, sendo excluído do sistema. Empresas eventualmente punidas com exclusão terão prazo de 60 dias para solicitar nova adesão.
As próprias instituições já incluídas no Pix também contarão com novas prerrogativas estabelecidas pela autoridade monetária para auxiliar na coerção a fraudes e golpes. Elas terão poder para criar limites de valor por transação com base no perfil de risco e comportamento do cliente e possibilidade de bloquear cautelarmente transações de pessoas jurídicas.
O BC submeterá ao Grupo Estratégico de Segurança do Pix a definição de critérios mínimos e objetivos, para que uma transação seja qualificada como “fundada suspeita de fraude” ou como “suspeita de fraude”. Por fim, haverá obrigatoriedade de que instituições que criem ou aceitem notificação para marcação de fraude transacional restrinjam a iniciação e o recebimento de transações Pix.
Resposta à onda de ciberataques
A ação do Banco Central visa preencher as brechas de Segurança existente no ecossistema financeiro nacional, após a ocorrência de ao menos cinco incidentes cibernéticos de grandes proporções nos últimos meses. O mais impactante atingiu a C&M Softwares, em julho, quando o comprometimento de uma credencial expôs o acesso às contas reservas do Pix de diversos bancos que utilizam os serviços dessa PSTI.
Semanas depois, em agosto, foi a vez da Sinqia, uma fornecedora de sistemas bancários não incluída nos sistemas do Bacen. Nesse caso, porém, o modus operandi do ataque foi bastante similar, segundo os CISOs do grupo Security Leaders: impacto em uma fornecedora terceirizada para gerar acessos e vazamento dos recursos financeiros da instituição contratante.
Um terceiro caso, de menor proporção se deu ainda nessa semana, quando A fintech Monbank, especializada em serviços de crédito consignado, afirmou, por meio de nota em seu portal oficial, que foi alvo de um incidente cibernético contra as suas infraestruturas digitais. Devido ao ataque, foram desviados R$ 4,9 milhões das contas de reserva do órgão.
O BC ainda comunicou então ao mercado financeiro que a E2 Pay foi vítima de um incidente cibernético, que resultou na subtração indevida de valores financeiros da instituição. A organização era uma das Instituições Não Autorizadas pelo órgão de participar diretamente do sistema de pagamentos do Pix, e, portanto, estava sujeita às novas normas de proteção.
Em seguida, foi a vez do Banco Triângulo S.A. (Tribanco) ser vítima de um incidente cibernético que comprometeu valores financeiros de dentro da empresa. O caso foi confirmado pelo próprio Tribanco, em posicionamento enviado ao Valor Econômico e por nota publicada pelo Banco Central ao mercado bancário. De acordo com a instituição, parcela relevante do valor desviado já foi bloqueada pelas diversas instituições destinatárias, sem qualquer indício de vazamento de informações cadastrais de clientes jurídicos.
*Com informações do jornal Valor Econômico
