Em comunicado interno enviado a bancos e fintechs, obtido pelo Bastidor, o Banco Central alertou que instituições financeiras que são ou já foram clientes da JD Consultores — empresa de tecnologia bancária alvo de ataque hacker — podem sofrer novas invasões caso não substituam os certificados digitais utilizados para acessar as contas de reserva do Pix.
Os certificados digitais são credenciais que permitem a bancos e fintechs acessar a interface (API) do sistema Pix. Segundo fontes do setor, o Banco Central não mantém controle direto sobre a forma como esses certificados são armazenados e gerenciados pelas Provedoras de Serviços de Tecnologia da Informação (PSTIs). Essa estrutura pode abrir brechas para que criminosos obtenham acesso às credenciais — seja por meio do aliciamento de funcionários, como ocorreu no caso da C&M Software, seja pela invasão de servidores antigos, como indicam as apurações no episódio envolvendo a JD.
Segundo informações reunidas pelo BC, os hackers acessaram um servidor de histórico de transações da JD que armazenava certificados digitais de bancos e fintechs que são ou já foram vinculados à empresa. Com isso, o alcance do ataque pode atingir inclusive instituições que hoje operam conectadas diretamente ao Banco Central e não dependem mais de uma PSTI, caso não tenham substituído os certificados após a migração.
“Assim, todas as instituições que usam a JD como PSTI ou que usaram a JD como PSTI antes de migrarem para conexão direta, mas não mudaram os certificados, podem estar expostas a um novo ataque”, afirma trecho do comunicado do BC.
A invasão à JD deve ser investigada pela Polícia Federal, que buscará identificar eventuais conexões com outros ataques recentes ao sistema financeiro e apurar a possível participação ou negligência de funcionários da empresa. Ainda não há inquérito instaurado.
A decisão do Banco Central de suspender o serviço Pix das instituições atendidas pela JD durante o feriado de Carnaval teve como objetivo evitar que novos desvios ocorram a partir das contas de reserva. Enquanto a medida estiver em vigor, as instituições ficam impedidas de realizar determinadas transações fora da grade do Sistema de Pagamentos Brasileiro (SPB), o que também dificulta a consolidação imediata do montante eventualmente desviado. Até o momento, não há valor oficial do prejuízo.
O Banco do Nordeste, cliente da JD, foi uma das instituições que já identificaram impacto decorrente da invasão, registrada em 26 de janeiro. Não há, até agora, estimativa oficial sobre o valor subtraído.
É o terceiro ataque exitoso contra uma PSTI, o tipo de empresa que fornece serviço de tecnologia bancária a fintechs e bancos pequenos e médios, durante a gestão do presidente do BC, Gabriel Galípolo.

