Rodrigo Gava, CTO da Vultus (Imagem: Divulgação)

Infelizmente, aconteceu de novo: o maior incidente cibernético da história do Brasil pode ter acabado de ser superado — ou, no mínimo, equiparado em escala — por um novo episódio de natureza muito semelhante.

Sistemas que atuam como “procuradores” para representar Instituições Financeiras junto ao BACEN e ao Sistema de Pagamentos Instantâneos (SPI) podem, na prática, movimentar livremente o dinheiro tradicional das Contas PI dessas instituições — contas que, muitas vezes, concentram dezenas ou até centenas de milhões de reais.

Esses sistemas se tornaram as novas joias da coroa da cibersegurança brasileira e precisam ser analisados profundamente — não apenas em sua arquitetura interna, mas também em todo o ecossistema digital que os cerca.

Se o novo incidente envolvendo a Sinqia se confirmar, será um capítulo triste para todas as empresas envolvidas, seus colaboradores e clientes.

Dependendo do desdobramento, pode abalar a credibilidade de todo o Sistema Financeiro Brasileiro.

O contexto técnico: a arquitetura do SPI permite que, uma vez que o sistema de um PSTI — como a C&M ou a própria Sinqia — esteja autenticado com chaves privadas de certificados válidos de Instituições Financeiras, ele ganhe uma espécie de “bypass total” do core bancário.

Na prática, as contas de origem não precisam ter saldo para enviar recursos a contas de laranja. Basta que a conta PI da instituição vítima possua saldo. O SPI, em seu núcleo, não valida o saldo das contas de origem; quem faz essa verificação é o sistema que envia a mensagem. Se um adversário assumir o controle do último elo do fluxo de mensageria autenticada (pulando essa verificação), as transações seriam processadas livremente — até o esgotamento completo das Contas PI.

O verdadeiro risco: o entorno desses sistemas, assim como seu nível de monitoramento, segmentação e isolamento, precisa ser à prova de falhas. Estamos lidando com alguns dos maiores riscos intrínsecos da cibersegurança moderna: ao contrário de incidentes tradicionais, que envolvem dados encriptados ou impactos operacionais indiretos (como ataques destrutivos ou sequestro de informação), aqui o cenário é outro.

Em caso de comprometimento, o impacto é imediato e direto: evasão de dinheiro tradicional “na veia”, comprometendo boa parte da liquidez sob tutela de uma instituição financeira.