Na última sexta-feira (29), a Sinqia, uma das principais empresas responsáveis pela intermediação tecnológica entre instituições financeiras e o sistema de pagamentos instantâneos Pix, reportou a detecção de atividades suspeitas em seus sistemas.
O episódio ocorre menos de dois meses após o desvio de aproximadamente R$ 1 bilhão de contas vinculadas ao Banco Central em incidente anterior envolvendo outra empresa do setor. Embora ainda não haja confirmação oficial de valores desviados no caso da Sinqia, informações preliminares apontam que hackers teriam movimentado cerca de R$ 380 milhões em operações relacionadas ao HSBC.
Posição das instituições envolvidas
Em nota, o HSBC afirmou que as transações identificadas ocorreram em ambiente de um provedor externo, não havendo impacto direto sobre contas de clientes ou fundos sob custódia. O banco destacou que adotou medidas imediatas de bloqueio e reiterou seu compromisso de colaboração com as autoridades competentes.
Já a Sinqia comunicou que instaurou investigação interna com apoio de especialistas em perícia digital. A empresa declarou que o incidente se restringe ao ambiente Pix no Brasil e que, até o momento, não há indícios de comprometimento de dados pessoais.
Questões regulatórias e de responsabilidade
De acordo com o delegado Vytautas Zumas, especialista em cibersegurança, a Sinqia está entre as poucas empresas autorizadas pelo Banco Central a operar como prestadora desse tipo de serviço. Tais companhias funcionam como intermediárias na conexão das instituições financeiras à rede do Sistema Financeiro Nacional, representando, na prática, a “espinha dorsal” da integração tecnológica para operações de pagamento.
Esse modelo de terceirização, embora eficiente, levanta debates sobre a alocação de responsabilidades jurídicas em casos de falhas de segurança: até que ponto o risco deve ser assumido pela prestadora de serviços de tecnologia, pela instituição contratante ou pelo próprio regulador?
Contexto recente
O ataque remete ao episódio de julho, quando aproximadamente R$ 1 bilhão foi subtraído de contas administradas pela C&M Software, em operação que se tornou o maior ataque hacker já registrado contra o setor financeiro nacional. À semelhança do ocorrido agora, a infraestrutura central do Pix não foi comprometida, permanecendo íntegra e funcional.
Relevância jurídica
Incidentes dessa natureza reacendem a discussão sobre responsabilidade civil das instituições financeiras e de seus prestadores de serviços de tecnologia, bem como sobre os deveres de supervisão e fiscalização do Banco Central. Além disso, colocam em pauta a eficácia das normas de proteção de dados pessoais e a possível necessidade de reforço nos mecanismos regulatórios de cibersegurança no Sistema Financeiro Nacional.
