Julio Mendes analisa o ataque ao sistema de pagamentos e propõe reforços na autenticação para proteger o SPB e garantir mais segurança digital
No artigo a seguir, o especialista em segurança digital Julio Cesar Mendes analisa um dos pontos mais sensíveis da atualidade: o fator humano como elo frágil nas infraestruturas críticas. Com base em sua experiência no setor de tecnologia e identidade digital, Julio propõe uma reflexão sobre a importância de fortalecer os processos de autenticação, especialmente no âmbito do Sistema de Pagamentos Brasileiro (SPB), cuja confiabilidade foi colocada à prova por um recente incidente.
Por Julio Mendes
Caso expõe falha humana e reacende o debate sobre a autenticação qualificada no ecossistema financeiro brasileiro
Nos últimos dias, o país foi surpreendido pela notícia de um suposto ataque hacker envolvendo uma empresa que integra o ecossistema do Sistema de Pagamentos Brasileiro (SPB), com impacto financeiro estimado em cerca de R$ 800 milhões — valor ainda em apuração.
A gravidade do episódio provocou discussões acaloradas em duas grandes comunidades profissionais ao redor do mundo: o setor financeiro e a comunidade de segurança da informação.
No universo financeiro, as preocupações iniciais orbitavam em torno da reputação do sistema nacional e dos riscos de um eventual abalo na confiança sistêmica — algo com potencial para desencadear reações em cadeia em um mercado altamente sensível.
Afinal, o SPB é tido como um dos mais modernos e seguros do mundo. Por isso, a suspeita de uma violação interna gerou perplexidade e colocou em xeque uma estrutura até então considerada quase infalível.
Paralelamente, especialistas em segurança digital passaram a investigar — ou ao menos especular — quais vulnerabilidades poderiam ter sido exploradas em um sistema tão robusto. Em ambientes técnicos, ainda que se reconheça que “não existe sistema inviolável”, o que se questiona é o grau de sofisticação e os recursos necessários para executar um ataque dessa magnitude.
Contudo, a evolução célere das investigações trouxe à tona um dado crucial: o ataque não foi, de fato, resultado de uma falha tecnológica. Foi, como tantas vezes ocorre, uma falha humana. Um colaborador teria deliberadamente fornecido suas credenciais de acesso em troca de vantagem indevida. Tudo indica que o acesso não foi a única entrega.
É plausível supor que informações complementares — como rotinas internas, particularidades dos sistemas e instruções operacionais — também tenham sido repassadas, ainda que por outros envolvidos. O episódio tem a marca de uma ação coordenada por um grupo criminoso altamente organizado.
Esse fato muda o foco da discussão. A infraestrutura tecnológica continua sólida. O elo frágil, como tantas vezes, foi o fator humano. E é exatamente aí que reside uma oportunidade (há muito conhecida, mas frequentemente negligenciada) de elevar o nível de segurança nas autenticações realizadas por usuários em sistemas críticos: o uso de certificados digitais qualificados — especialmente os emitidos no âmbito da ICP-Brasil.
Ao incorporar esse tipo de autenticação, com base em assinatura digital qualificada, garante-se o chamado não repúdio — ou seja, a impossibilidade de negar a autoria de uma ação digital. Isso significa que, mesmo em um eventual vazamento de senha, qualquer operação sensível estaria vinculada juridicamente ao titular do certificado. A robustez jurídica e técnica desse mecanismo é reconhecida nacional e internacionalmente. E, ainda assim, segue subutilizada.
É fato: diversas soluções tentam mitigar os riscos associados ao uso de credenciais simples. Mas a única que oferece garantia jurídica plena e assegura o não repúdio é a autenticação baseada em certificados qualificados. O “bom e velho” certificado ICP-Brasil — uma tecnologia consolidada há mais de duas décadas — poderia ter sido o elemento que dificultaria ou até impediria a concretização dessa fraude, reduzindo drasticamente os riscos e seus impactos.
O caso está longe de encerrado. Ainda haverá grandes gastos financeiros, consumo de horas de trabalho e, principalmente, danos à imagem de instituições que zelosamente construíram sua reputação ao longo de anos. Que esse episódio sirva como alerta — e também como impulso — para retomarmos com seriedade o debate sobre segurança digital com responsabilidade, lastro técnico e respaldo jurídico.
ICP-Brasil está aí. Pronta. Sólida. Ignorá-la é um risco que já não podemos mais correr.
Sobre o autor: Julio Cesar Mendes tem formação engenharia e admministração de empresas, atuando há mais de duas décadas em projetos estratégicos de identidade digital, infraestrutura crítica e governança cibernética nos setores financeiro, público e de tecnologia. É reconhecido por sua capacidade de conectar visão técnica, jurídica e regulatória em análises de alto impacto.
Crypto ID: Informação Estratégica sobre Cibersegurança
Há mais de 10 anos, o Crypto ID conecta tecnologia, regulação e segurança com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões. Conheça a coluna Cibersegurança.
Siga o Crypto ID no LinkedIn agora mesmo!
