Um ataque cibernético contra os servidores da Sinqia, empresa que opera sistemas do PIX, resultou no desvio de R$ 710 milhões em transações financeiras. O caso foi revelado pela Evertec, controladora da Sinqia, em documento enviado à SEC, a comissão reguladora do mercado de capitais nos Estados Unidos. Segundo o relatório, parte do montante já foi recuperada e outras ações estão em andamento para tentar reaver os valores.

As instituições financeiras atingidas foram o banco HSBC e a fintech Artta, conforme fontes ligadas à investigação. O Banco Central confirmou que, ao detectar a tentativa de invasão, suspendeu imediatamente a conexão da Sinqia com a rede do sistema financeiro nacional, para impedir que a vulnerabilidade se espalhasse para outros bancos. A autoridade monetária também determinou que a empresa só poderá retomar operações no Sistema de Pagamentos Brasileiro e no PIX após revisão e aprovação de medidas corretivas.

O HSBC, o mais impactado, afirmou em nota que nenhuma conta de clientes foi comprometida, já que as transações ocorreram exclusivamente em ambiente de um provedor de serviços. A instituição disse ainda que bloqueou as operações suspeitas e reforçou seu compromisso com a segurança de dados. A Artta, por sua vez, destacou que as contas afetadas eram mantidas diretamente junto ao Banco Central para liquidação interbancária, sem envolver clientes.

De acordo com a Evertec, os hackers exploraram credenciais de fornecedores legítimos de tecnologia da informação da Sinqia. Essas senhas teriam permitido inserir transações fraudulentas no ambiente PIX. A empresa informou que encerrou imediatamente esses acessos, isolou o sistema comprometido e iniciou a reconstrução de sua infraestrutura em um novo ambiente com controles reforçados.

Em comunicado, a Sinqia afirmou que não há indícios de comprometimento de dados pessoais e que o problema está restrito ao PIX, sem atingir outros sistemas da companhia no Brasil. A empresa disse também ter acionado as autoridades policiais, clientes e especialistas externos em segurança cibernética para auxiliar na investigação.

A Artta acrescentou que, como medida preventiva, suspendeu as transações de saída no mesmo dia da detecção do ataque, ressaltando que sua prioridade é a proteção dos recursos dos clientes. Tanto a Sinqia quanto as instituições envolvidas prometeram transparência e atualizações constantes à medida que novas informações forem apuradas.