Mais de 700 milhões de reais desviados no ataque hacker à Sinqia Digital, empresa que conecta bancos ao sistema Pix, foram distribuídos para contas mantidas em 11 instituições financeiras. Uma ação coordenada entre o Banco Central e a Polícia Federal conseguiu bloquear mais de 430 milhões de reais.

O ataque ocorreu na sexta-feira (29) e atingiu o banco HSBC e a fintech Artta, clientes da Sinqia. A invasão se deu por meio do uso de credenciais válidas — logins de funcionários de bancos e empresas vendidos a grupos criminosos.

O dinheiro transitou pelas seguintes instituições:

  • Inter: 3 milhões de reais
  • Itaú: 54 milhões de reais (ainda falta recuperar 1 milhão de reais)
  • Sicoob: 41 milhões de reais
  • Banco do Brasil: 56 milhões de reais
  • Bradesco: 73,4 milhões de reais (ainda faltam 9,2 milhões de reais)
  • Safra: 30 milhões de reais
  • Santander: 79 milhões de reais
  • BMP: 56 milhões de reais
  • C6 Bank: 18 milhões de reais
  • Caixa Econômica Federal: R$ 23 milhões (ainda faltam 8 milhões de reais)
  • Cartos: 1,8 milhão de reais.

A mesma força-tarefa que atua no caso do maior roubo digital da história do sistema financeiro brasileiro — composta por promotores especializados de São Paulo e do Rio de Janeiro, além de policiais federais — assumiu a investigação do ataque à Sinqia. No mesmo inquérito foi incluída também a apuração sobre o desvio de R$ 4,9 milhões no MonBank, de Porto Alegre. Os três ataques cibernéticos apresentam semelhanças no modo de operação.

A força-tarefa tenta mapear os funcionários que acessaram o sistema da Sinqia horas antes do ataque. Em outra frente, investiga o destino de parte do dinheiro, que pode ter sido convertido em criptomoedas.

Diferentemente do ataque bilionário à C&M Software, em que parte dos valores foi distribuída para fintechs de pequeno e médio porte, o ataque à Sinqia envolveu trânsito de dinheiro por grandes bancos brasileiros, que têm sistemas antifraudes mais robustos.

Para os investigadores, os criminosos optaram dessa vez pelo uso dos bancos de grande porte pela facilidade de transferências de altos valores. Enquanto em fintechs de pequeno e médio porte seria necessário fatiar os valores, devido à capacidade financeira, em bancos maiores é possível fazer menos operações com valores mais altos.

Segundo fontes da investigação, embora os bancos tenham conseguido bloquear mais da metade dos recursos desviados, uma parte ainda conseguiu ser transferida para fintechs menores que operam com Pix indireto — modalidade sem conexão direta com o Banco Central.

O que dizem as instituições

O Bastidor procurou todos os bancos e empresas de tecnologia citados. C6 Bank, Itaú, Bradesco e BMP (este último alvo do maior ataque ao sistema financeiro) não se manifestaram. Santander, Safra e Inter não retornaram o contato.

A Cartos confirmou a devolução de 1,8 milhão de reais ao HSBC e informou que conseguiu bloquear anteriormente uma outra transferência suspeita de 8 milhões de reais.

O Banco do Brasil disse ter identificado e bloqueado a quantia, destacando que investe em tecnologias de prevenção a fraudes.

O Sicoob afirmou que o ataque não teve relação com a cooperativa.

A Caixa Econômica Federal afirmou monitorar ininterruptamente as transações para identificar e investigar casos suspeitos, ressaltando que colabora com as autoridades. Clique aqui para ler as íntegras das notas.

Para receber nossas notícias, clique aqui e acesse o canal do Bastidor no WhatsApp.