Um ataque cibernético que comprometeu operações envolvendo o sistema de pagamentos Pix está sob investigação da Polícia Civil, e agora um novo detalhe chama atenção: um funcionário da empresa alvo da ação hacker é suspeito de ter colaborado com os criminosos em troca de uma propina de R$ 15 mil. A revelação foi feita por investigadores que apuram o caso e colocam sob suspeita a atuação interna como fator-chave para o sucesso da ofensiva digital.
O ataque ocorreu em uma instituição responsável por processar transações via Pix para grandes bancos e fintechs. Ao comprometer os sistemas da empresa, os criminosos conseguiram desviar valores milionários em questão de minutos, aproveitando brechas de segurança possivelmente sinalizadas pelo próprio colaborador envolvido.
Investigação aponta colaboração interna
Segundo a Polícia Civil, a cooperação do funcionário foi essencial para que os hackers identificassem vulnerabilidades nos servidores e nos protocolos internos de segurança. O valor de R$ 15 mil teria sido depositado em sua conta pessoal por meio de transferências fracionadas, com o objetivo de evitar rastreamento imediato. Ele já foi afastado de suas funções e deve prestar novo depoimento nos próximos dias.
Peritos analisam mensagens e registros de acesso digital que indicam que o colaborador forneceu credenciais de autenticação e mapeou horários com menor vigilância nos sistemas. “As informações repassadas por esse funcionário foram cruciais para o sucesso da invasão. Estamos diante de um ataque de engenharia social combinado com ataque técnico sofisticado”, disse um delegado responsável pelo caso.
Ataques ao Pix crescem no Brasil
O Pix, lançado em 2020, revolucionou o sistema bancário brasileiro ao permitir transferências instantâneas e gratuitas. No entanto, a crescente popularidade do serviço também o transformou em alvo de ataques cada vez mais sofisticados. De acordo com dados do Banco Central, os casos de fraude envolvendo o Pix aumentaram 62% nos últimos dois anos.
Especialistas apontam que, embora o sistema em si seja seguro, as empresas que integram o ecossistema precisam reforçar suas medidas de cibersegurança. “O elo fraco, muitas vezes, não é a tecnologia, mas o fator humano. Funcionários mal treinados ou corrompidos colocam todo o sistema em risco”, explica Cláudia Ribeiro, especialista em segurança digital.
Prejuízo milionário e rastreamento das contas
Estima-se que o prejuízo causado pelo ataque ultrapasse R$ 3 milhões. A quantia foi distribuída em dezenas de contas de laranjas, dificultando o rastreamento imediato. A polícia, no entanto, conseguiu recuperar parte dos valores e bloquear contas que receberam as quantias desviadas. Um inquérito foi aberto para identificar outros possíveis envolvidos, inclusive fora do Brasil, já que parte das comunicações dos criminosos foi feita em redes privadas internacionais (VPNs).
Empresa reforça medidas de segurança
A empresa alvo do ataque afirmou, por meio de nota oficial, que está colaborando com as investigações e que já implementou protocolos adicionais de segurança, como autenticação em múltiplos fatores, auditoria de acessos e monitoramento em tempo real. Também foram contratados consultores externos para revisar toda a estrutura digital da organização.
A companhia informou ainda que os clientes não foram diretamente prejudicados e que medidas de compensação foram adotadas com parceiros bancários. “Nosso compromisso é com a transparência e a segurança do sistema financeiro digital. Estamos trabalhando ativamente para evitar qualquer reincidência”, diz o comunicado.
Crime cibernético e responsabilidade legal
A legislação brasileira já prevê punição para crimes cibernéticos e corrupção empresarial. O funcionário investigado pode responder por corrupção passiva, associação criminosa e facilitação de crime cibernético. Se condenado, pode pegar até 15 anos de prisão.
A polícia também está em contato com o Ministério Público para avaliar se houve negligência da empresa no tratamento de dados e se será necessário acionar a Autoridade Nacional de Proteção de Dados (ANPD), conforme estabelece a Lei Geral de Proteção de Dados (LGPD).
