Ataque à Sinqia: Desvio pode chegar a R$ 1 bilhão e expõe falha na legislação, dizem especialistas

Enquanto números iniciais apontam para um rombo de R$ 420 milhões, fontes do setor financeiro alertam que o ataque hacker à plataforma de ‘banking as a service’ pode ser muito maior, afetando até 20 instituições.

O ataque hacker à Sinqia, uma das maiores plataformas de “banking as a service” (BaaS) do Brasil, pode ser significativamente maior do que o divulgado inicialmente. Enquanto os primeiros relatos apontavam para um desvio de R$ 420 milhões concentrado no banco HSBC e na fintech Artta, fontes do mercado e especialistas que acompanham o caso alertam que o rombo pode se aproximar de R$ 1 bilhão. A invasão, revelada com exclusividade pelo NeoFeed, expõe não apenas a vulnerabilidade da infraestrutura financeira digital, mas também uma grave falha na legislação brasileira sobre a comunicação de incidentes cibernéticos.

Especialistas argumentam que o prejuízo total é provavelmente muito maior porque os criminosos, ao comprometerem os sistemas da Sinqia, não obtiveram acesso a um único cofre, mas sim à “chave mestra” que abre as portas de dezenas de instituições financeiras que dependem da plataforma. “Por que os criminosos se limitariam apenas ao HSBC quando poderiam acessar outros players? Eles não precisavam estourar o cofre, pois já tinham a chave da Sinqia“, afirmou uma fonte ao NeoFeed.

Para entender melhor: O que é ‘Banking as a Service’ e por que o ataque é tão grave?

Para entender o impacto em cascata deste ataque, é crucial saber o que é uma empresa como a Sinqia. Imagine que o sistema financeiro é uma cidade. Os grandes bancos são prédios enormes com suas próprias “usinas de energia e segurança”. As fintechs e financeiras menores são lojas que não têm recursos para construir tudo do zero. Uma empresa de ‘Banking as a Service’ (BaaS) como a Sinqia é a principal companhia de energia e segurança da cidade. Ela vende a ‘eletricidade’ e a ‘vigilância’ (tecnologia de pagamentos, segurança, etc.) para que as lojas menores possam operar. O ataque à Sinqia não foi um assalto a uma única loja; foi como se os criminosos tivessem tomado o controle da companhia de energia da cidade inteira, ganhando acesso a todos os seus clientes de uma só vez.

O elo fraco: ‘Insider’, engenharia social e a falta de transparência

As investigações iniciais, segundo Alberto Leite, presidente do Grupo FS, indicam que o ataque foi realizado por cibercriminosos brasileiros e seguiu um roteiro já conhecido: uma provável combinação de um “insider” (funcionário ou ex-funcionário com acesso privilegiado), engenharia social para roubar credenciais e a exploração de plataformas desatualizadas. O dinheiro desviado teria sido pulverizado em empresas “moribundas”, usadas como fachada.

O caso, que ocorre apenas dois meses após um ataque similar de R$ 1 bilhão à empresa C&M, acende um alerta sobre uma falha sistêmica. “Há uma falha na legislação brasileira”, afirma Leite. “As empresas não são obrigadas a relatar a profundidade, a dimensão, o impacto financeiro e o número de clientes afetados”. Essa falta de transparência compulsória impede que o mercado e as autoridades tenham a real dimensão do risco e dificulta a prevenção de futuros incidentes.

Enquanto o Banco Central ainda não se manifestou sobre os valores, o ataque à Sinqia já se consagra como um dos mais graves da história do sistema financeiro digital brasileiro. Ele evidencia que, enquanto o país avança em inovações como o Pix, a infraestrutura de segurança e a regulamentação que sustentam essa economia ainda precisam amadurecer urgentemente para acompanhar a sofisticação do crime organizado.

Da redação com informações do NeoFeed

Redação do Movimento PB [GMN-GOO-31082025-101900-B2A4F1-15P]