Come è fallita la difesa di Pix e quale lezione per la Banca Centrale

Le perdite sono ancora in fase di calcolo, una persona è già stata arrestata , ma cosa sia successo esattamente e come sia avvenuto è ancora oggetto di indagine da parte della Polizia Civile di San Paolo e della Polizia Federale (PF). Tre giorni dopo che il più grande attacco hacker nella storia del Brasile ha utilizzato credenziali di accesso valide e ha invaso i sistemi di C&M – un'azienda tecnologica che media l'accesso di piccole banche e fintech ai sistemi della Banca Centrale, tra cui Pix – il sistema finanziario nazionale nel suo complesso si sta ancora riprendendo dallo shock e sta cercando di comprendere meglio l'entità della truffa.
L'appropriazione indebita potrebbe superare il miliardo di R$ : solo BMP, una banca digitale tra i sei clienti di C&M coinvolti, ha denunciato il furto di 541 milioni di R$ alla polizia di San Paolo. Inizialmente, il denaro non ha interessato i clienti e proveniva dai conti di riserva degli istituti finanziari presso la Banca Centrale.
In ogni caso, secondo gli esperti intervistati da Gazeta do Povo , esistono misure pratiche e relativamente semplici che possono e devono essere adottate sia dagli istituti finanziari e dai loro fornitori di servizi, sia dalla Banca Centrale, d'ora in poi, per impedire che questo tipo di attacco si ripeta e crei un rischio sistemico per il mercato finanziario nazionale. La maggior parte delle misure esiste già e ha sostenitori in grandi banche e aziende, ma non sono obbligatorie: da qui la responsabilità della Banca Centrale di inasprire queste normative, oltre a creare ulteriori barriere interne.
"A quanto pare, hanno utilizzato credenziali di accesso e password valide di una società intermediaria per ottenere credenziali di accesso e password valide da istituti finanziari clienti di questa società, e poi hanno utilizzato queste informazioni per accedere e trasferire i conti di riserva di queste società presso la Banca Centrale", afferma Micaella Ribeiro, specialista in identità e accessi presso IAM Brasil, un'azienda specializzata in controlli degli accessi in generale. Sottolinea che il caso viene gestito con la massima riservatezza, quindi non ci sono informazioni dettagliate sull'accaduto.
L'ecosistema digitale che protegge Pix deve disporre di standard più rigorosi per evitare rischi sistemici per il mercato finanziario nazionale.
Secondo l'esperta, i sistemi della Banca Centrale sono sicuri. "La maggior parte degli attacchi hacker utilizza un accesso valido per invadere un sistema; è molto difficile violare la sicurezza e invadere un sistema senza credenziali valide", afferma.
Esistono risoluzioni delle banche centrali che impongono alle aziende di adottare una serie di misure di sicurezza per partecipare a questo sistema. Le grandi banche vanno oltre e implementano più misure di quelle richieste, ma potrebbe essere necessario specificare meglio alcuni aspetti per evitare ulteriori problemi in futuro.
Un'unica credenziale e una password di accesso non potrebbero avere così tanto potere, afferma un espertoDopo l'attacco, chi lavora nel settore ha capito che potrebbe essere giunto il momento di inasprire le regole già in vigore. "Il manuale della Banca Centrale per la connessione ai suoi sistemi è piuttosto completo e fornisce una panoramica molto completa delle misure di sicurezza, ma alcuni aspetti molto importanti sono elencati come raccomandazioni piuttosto che come obbligatori", afferma Luiz Henrique Barbosa, direttore esecutivo di Swarmy Tecnologia , azienda specializzata in sicurezza e prevenzione delle frodi digitali, con particolare attenzione al mercato finanziario.
"L'ecosistema fintech , dove si è verificato il problema, ha normative meno rigide rispetto alle grandi banche, che si collegano direttamente al sistema della Banca Centrale. Questo è auspicabile, poiché è ciò che rende possibile tutta l'innovazione e la concorrenza che abbiamo visto nel settore, ma potrebbe richiedere adeguamenti specifici", osserva Barbosa.
La prima sarebbe che la Banca centrale stabilisse regole più severe, in base alla realtà di ogni istituto finanziario, e richiedesse la creazione di diversi livelli di accesso e autorizzazione all'interno dell'istituto finanziario e delle società che fungono da collegamento tra le banche e la Banca centrale, in modo che i trasferimenti di conti sensibili, come il conto di riserva, siano più protetti in caso di fuga di dati di login e password di accesso.
"Mi chiedo anche come un'unica credenziale e password per l'accesso ai sistemi di un'azienda intermediaria possa avere così tanto potere , al punto da poter accedere ai movimenti di così tanto denaro dei clienti, laddove c'erano barriere di accesso e allarmi", si chiede Barbosa.
In questo schema “a cipolla”, ogni accesso e movimento finanziario nei conti interni della banca è soggetto all’approvazione di qualcuno di un livello superiore, con notifiche in tempo reale sui cellulari dei soggetti coinvolti, se applicabile; è anche possibile stabilire limiti alle risorse che ogni livello di gestione può spostare senza il consenso dei responsabili superiori, oltre a richiedere la partecipazione di più di una credenziale di accesso contemporaneamente o addirittura autorizzare le transazioni solo attraverso l’uso di specifici dispositivi fisici e, quindi, limitare i danni in caso di attacco.
La "rapina di carta moneta" brasiliana nel mondo digitaleIn secondo luogo, sia gli intermediari che forniscono l'accesso ai sistemi della Banca centrale sia gli istituti finanziari proprietari del denaro devono e possono stabilire avvisi di monitoraggio in tempo reale sulle transazioni finanziarie, che informino i settori e i professionisti responsabili se si verifica qualcosa di insolito nei conti al momento delle transazioni, incluso il blocco automatico finché la transazione non viene convalidata ai livelli appropriati.
Infine, oltre a richiedere maggiore rigore in tutto questo emanando norme specifiche, la Banca centrale stessa può impedire il prelievo di fondi dai conti di riserva, ad esempio di notte (come è avvenuto nell'attacco in questione) o in disaccordo con valori, conti preautorizzati e orari precedentemente registrati dagli istituti finanziari e dai loro fornitori di servizi presso la Banca centrale.
"In breve, c'è margine di miglioramento su tutti i fronti ", afferma Micaella Ribeiro. "Questo caso dimostra che la criminalità informatica è qui per restare e non attacca più solo individui ignari in truffe online su piccola scala. Questo caso sembra essere la "casa di carta" brasiliana, ma nel mondo virtuale, e lascia un enorme monito e una grande lezione", afferma Luiz Henrique Barbosa.
gazetadopovo