Após ataques de 'hackers', BC anuncia medidas para reforçar segurança no sistema financeiro

O presidente do Banco Central, Gabriel Galípolo.
Raphael Ribeiro/BC
Após ataques de “hackers” a instituições financeiras, o Banco Central anunciou nesta sexta-feira (5) medidas para reforçar a segurança do sistema financeiro. Os atos foram aprovados pela diretoria da autarquia.
Entre as medidas, estão limites menores de transferência para instituições de pagamento não autorizadas; a obrigatoriedade de aprovação, pelo BC, de novos entrantes no sistema (com regras mais rígidas de aprovação); e a confirmação de “certificação técnica” para operar.
Em entrevista coletiva, o presidente do Banco Central, Gabriel Galípolo, afirmou que os ataques foram feitos pelo crime organizado.
Para Galípolo, as chamadas fintechs e os grandes bancos – sediados na Avenida Faria Lima em São Paulo – também são vítimas de criminosos.
🔎Fintechs são empresas que usam a tecnologia para oferecer serviços financeiros com mais agilidade.
“Faria lima ou ‘fintechs’ são as vítimas do crime organizado. Tanto os bancos incumbentes, quando os novos entrantes no mercado, foram responsáveis por uma inclusão fantástica no sistema financeiro e facilitação de serviços [à população]. Isso é essencial para que o Brasil tenha uma posição privilegiada que tem hoje no sistema financeiro”, disse o presidente do BC.
De acordo com Galípolo, os criminosos que estão se utilizando de instituições financeiras é quem são os culpados. “É um criminoso usando aquilo, não é um banco e nem uma ‘fintech”, explicou.
“Antigamente, quando tinha assalto a um carro forte, ou a um banco, ficava mais evidente porque você via fisicamente. Agora como a coisa ficou virtual, mais opaco, se confunde um pouquinho e leva a esse receio. O tema da segurança não há margem para ter qualquer tipo de tolerância”, acrescentou o presidente do Banco Central.
Medidas
Veja as medidas anunciadas pelo Banco Central para aumentar a proteção do sistema financeiro:
Limites de transferências
Para instituições de pagamento não autorizadas e as que se conectam à Rede do Sistema Financeiro Nacional via Prestadores de Serviços de Tecnologia da Informação (PSTI) fica limitado em R$ 15 mil o valor de transferências via TED e PIX.
A limitação poderá ser removida quando o participante e seu respectivo PSTI atenderem aos novos processos de controle de segurança.
Transitoriamente, os participantes que atestarem a adoção de controles de segurança da informação poderão ser dispensados da limitação por até 90 dias. A medida entra em vigor imediatamente.
Prévia autorização para novas instituições
A autoridade monetária informou que nenhuma instituição de pagamento poderá começar a operar sem prévia autorização.
“Além disso, o prazo final para que instituições de pagamento não autorizadas a funcionar pelo BC solicitem autorização para funcionamento será antecipado de dezembro de 2029 para maio do ano que vem”, acrescentou o BC.
Controles adicionais no PIX
O Banco Central informou que haverá controles adicionais às instituições de pagamento.
“Somente integrantes dos segmentos S1, S2, S3 ou S4 que não sejam cooperativas poderão atuar como responsáveis no PIX por instituições de pagamento não autorizadas. Os contratos vigentes deverão ser adequados em até cento e oitenta dias”, explicou.
Certificação técnica
O BC também informou que poderá requerer “certificação técnica ou avaliação emitida por empresa qualificada independente que ateste o cumprimento dos requisitos autorizativos”.
“A instituição de pagamento que já estiver prestando serviços e tenha seu pedido de autorização indeferido deverá encerrar suas atividades em até 30 dias”, disse o BC. A vigência da medida é imediata.
Requisitos para prestadores de serviços de tecnologia
Também foram elevados, de acordo com a instituição, os requisitos e controles para o credenciamento dos PSTIs (Provedores de Serviços de Tecnologia da Informação).
Os requerimentos de governança e de gestão de riscos foram ampliados. Passa-se a exigir capital mínimo de R$ 15 milhões.
O descumprimento, segundo o BC, estará sujeito à aplicação de medidas cautelares ou até ao descredenciamento. A norma entra em vigor imediatamente e os PSTI em atividade têm até quatro meses para se adequarem.
Ataques nos últimos meses
No começo deste mês, a “fintech” (instituição que opera com inovações tecnológicas) Monbank informou que foi alvo de um ataque hacker que resultou no desvio de R$ 4,9 milhões. Segundo a instituição, nenhuma conta de clientes foi comprometida, e R$ 4,7 milhões já foram recuperados.
Também em setembro, A Sinqia, empresa responsável por conectar bancos ao sistema PIX, informou que um ataque hackerprovocou o desvio de aproximadamente R$ 710 milhões em transações não autorizadas.
Em julho, o Banco Central informou que a C&M Software — empresa que presta serviços tecnológicos e conecta instituições financeiras ao BC — comunicou ter sido alvo de um ataque à sua infraestrutura.