Pouco mais de 24 depois da invasão aos sistemas da companhia de baanking as a service Sinqia – revelado, com exclusividade, pelo NeoFeed, ainda há divergências quanto aos valores que teriam sido desviados e bloqueados. Assim como em relação ao número de instituições afetadas pelo ataque hacker.
Parte das fontes ouvidas pelo NeoFeed diz que o incidente envolveu um desvio de R$ 420 milhões, divididos entre o HSBC e a fintech Artta. O problema já teria sido estancado e, até o momento, cerca de R$ 350 milhões foram bloqueados. Há, porém, quem discorde dessa conta.
“Do que acompanhamos, o valor pode chegar a R$ 800 milhões ou até mais perto de R$ 1 bilhão”, afirma outra fonte. “Muita gente conseguiu bloquear, mas eu diria que pelo menos 20 instituições foram afetadas.”
Ele ressalta que esse volume adicional está distribuído de maneira mais fragmentada, em financeiras de menor porte, com transferências via Pix de menor valor. E que só as investigações poderão dar a real dimensão do caso.
“A Sinqia é um dos top 3 banking as a service do Brasil e está conectada com muitas instituições”, afirma a fonte. “Por que os criminosos se limitariam apenas ao HSBC quando poderiam acessar outros players? Eles não precisavam estourar o cofre, pois já tinham a chave da Sinqia.”
Quem também está acompanhando os desdobramentos do caso é Alberto Leite, presidente do Grupo FS, que segue a mesma linha. “Nós achamos que o valor é muito maior que R$ 420 milhões, até mesmo pela soma das empresas com quem conversamos”, observa.
Segundo Leite, do que foi possível apurar até o momento nessas conversas, os cibercriminosos, a princípio, são brasileiros. E os valores desviados tiveram como destino empresas “moribundas”, quase inativas, que foram usadas como fachada para a operação.
Ele ressalta que, nesse ponto, o caso destoa do ataque aos sistemas da C&M, que veio à tona há dois meses. No incidente em questão, que envolveu desvios estimados em mais de R$ 1 bilhão, boa parte dos recursos foi convertido em criptoativos.
“Mas, aparentemente, o caso guarda similaridades com o ataque à C&M”, diz. “Claro que é cedo para cravar, pois toda atividade forense tem que ser concluída, mas tudo indica que houve uma combinação de insider, engenharia social, falhas na cadeia de fornecedores e plataformas desatualizadas.”
À parte das diferenças e semelhanças, Leite ressalta que o intervalo de apenas dois meses entre dois casos dessa magnitude só reforça um contexto mais amplo, que está abrindo brechas para os cibercriminosos.
“Há uma falha na legislação brasileira”, afirma. “As empresas não são obrigadas a relatar a profundidade, a dimensão, o impacto financeiro e o número de clientes afetados.”
Procurado pelo NeoFeed sobre os valores envolvidos no ataque, o Banco Central, por meio de sua assessoria, disse que não iria se manifestar.
