O Banco Central (BC) anunciou nesta sexta-feira (19) um pacote de novas regras de segurança cibernética que impacta diretamente bancos, fintechs e milhões de brasileiros que utilizam o Pix. As medidas endurecem os requisitos para processamento, troca e armazenamento de dados financeiros, após uma sequência de ataques hackers que resultaram no desvio de mais de R$ 1,5 bilhão do sistema.
Segundo o Banco Central, a atualização das políticas de segurança é uma resposta direta ao aumento de crimes cibernéticos envolvendo o Pix, muitos deles explorando falhas em sistemas de empresas que intermediam transações financeiras.
Em comunicado, o órgão destacou que criminosos conseguiram acessar recursos de contas digitais ao se aproveitarem de brechas na troca de dados entre instituições e provedores de tecnologia.
As novas regras foram aprovadas em conjunto pelo Banco Central e pelo Conselho Monetário Nacional (CMN).
O que muda para bancos e fintechs
Com a atualização normativa, instituições financeiras passam a ser obrigadas a adotar camadas adicionais de proteção. Entre as principais exigências estão:
- Testes anuais de invasão (testes de intrusão), realizados por profissionais independentes, com envio dos resultados ao Banco Central;
- Autenticação multifatorial nas comunicações eletrônicas, inclusive nos ambientes do Pix e do Sistema de Transferência de Reservas (STR);
- Gestão rigorosa de certificados digitais, controles de acesso e rastreabilidade das operações;
- Monitoramento constante de credenciais e proibição do acesso de terceiros às chaves privadas das instituições;
- Isolamento dos ambientes de transação, para evitar acessos indevidos a recursos fora do Pix.
Além disso, a contratação de serviços de computação em nuvem, processamento e armazenamento de dados passa a seguir padrões mais rígidos de gestão de riscos e supervisão.
Conexão com o Pix entra no foco
O Banco Central também reforçou os requisitos de segurança para a infraestrutura por onde trafegam as transferências via Pix. Hoje, existem dois modelos de conexão: instituições de grande porte, que acessam diretamente o sistema do BC, e empresas menores, que utilizam provedores terceirizados.
De acordo com o BC, muitos ataques ocorreram justamente por vulnerabilidades nesses intermediários tecnológicos. Com as novas regras, esses serviços passam a ser classificados como “relevantes”, sujeitos a fiscalização mais rigorosa.
