Is Pix nog steeds veilig en betrouwbaar na een hackeraanval?

De hackeraanval die resulteerde in de verduistering van ongeveer R$ 800 miljoen van rekeningen bij de Centrale Bank (BC) riep vragen op over de digitale veiligheid en de betrouwbaarheid van het Pix-systeem in Brazilië. De bedragen werden afgelopen dinsdag (1e) binnen tweeënhalf uur via Pix verduisterd.

Zes instellingen die gebruikmaken van diensten van het bedrijf C&M Software werden getroffen, waaronder de Pix-overschrijvingen van klanten, die om veiligheidsredenen moesten worden onderbroken. Ondanks de cyberaanval is er tot op heden geen bevestiging dat particuliere of zakelijke klanten geld zijn kwijtgeraakt. De Centrale Bank verzekerde dat het Pix-systeem niet is getroffen en normaal blijft functioneren.

Volgens de Centrale Bank zijn de gehackte rekeningen reserves en worden ze gebruikt voor de verwerking van financiële transacties tussen instellingen in het Transfer and Reserve System (STR). De bank meldde dat de Pix-activiteiten van C&M om veiligheidsredenen werden onderbroken zodra de oplichting werd ontdekt en donderdag (3) werden hervat, "onder een gecontroleerd productieregime".

Technologie- en innovatie-expert Arthur Garcia is van mening dat de gevonden kwetsbaarheid in de digitale beveiliging "verre van systemisch is en niets te maken heeft met de kern van Pix". Volgens hem is het systeem daarom nog steeds betrouwbaar en is er geen reden tot paniek.

Toch waarschuwt Garcia dat de aanval "uiterst ernstig en onaanvaardbaar" was en dat het beveiligingsniveau van de bedrijven die het aan de Centrale Bank gekoppelde Pix-systeem beheren, opnieuw moet worden bekeken. Het is ook aan de Centrale Bank om de geloofwaardigheid te herstellen. "Er is grote schade aangericht, niet alleen vanuit financieel oogpunt, maar ook wat betreft de betrouwbaarheid van de gebruikers, en dat is het belangrijkste aspect van dit verhaal", voegt hij eraan toe.

De hackeraanval vond plaats op dezelfde dag dat de Centrale Bank nieuwe digitale beveiligingsmaatregelen voor Pix implementeerde. Banken moeten de informatie die aan Pix-sleutels is gekoppeld, verifiëren bij de Federal Revenue Service (FdS) om fraude te voorkomen. Het doel van deze wijziging is te voorkomen dat fraudeurs een andere naam op een Pix-sleutel invoeren dan iemand die geregistreerd staat in de database van de FdS.

Pix is ​​de belangrijkste betaalmethode en bankoverschrijving voor Brazilianen geworden. In 2024 werden er 63,51 miljard transacties via Pix uitgevoerd, goed voor een totaalbedrag van R$ 26,455 biljoen. Dit was een stijging van 54% ten opzichte van het jaar ervoor, toen R$ 17 biljoen werd omgezet.

Pix-gebruikers moeten rekening houden met andere zorgen en voorzorgsmaatregelen

In een interview met Gazeta do Povo benadrukt Luiz Henrique Barbosa, specialist in digitale beveiliging, fraudepreventie op de financiële markt en digitale betaalmethoden, dat Brazilianen die Pix gebruiken als belangrijkste betaal- en transactiemiddel in hun financiële leven, zich geen zorgen hoeven te maken. "De inbreuk vond plaats in een andere stroom, een communicatie tussen een specifiek bedrijf en de Centrale Bank, en had geen directe invloed op de Pix-rekeningen of transacties van individuen", benadrukt hij.

Volgens de expert had het incident gevolgen voor de interne infrastructuur van het bedrijf, die als een hub fungeert en andere fintechs verbindt met de Centrale Bank om transacties binnen het financiële ecosysteem te faciliteren. Volgens hem is het Braziliaanse financiële systeem een ​​van de meest geavanceerde en veilige ter wereld, waarbij Pix snelle transacties in realtime mogelijk maakt, wat extra zorgvuldigheid van Braziliaanse gebruikers vereist.

“Mensen zouden zich met andere zaken bezig moeten houden, zoals niet op schadelijke links klikken, niet geloven dat de bank belt om procedures en gegevens op te vragen, en niet ingaan op aanbiedingen die te mooi lijken om waar te zijn”, waarschuwt hij.

Volgens Barbosa is de belangrijkste les die uit de aanval op het systeem van de Centrale Bank is getrokken, de noodzaak om de regels voor bedrijven te verbeteren zonder de activiteiten van fintechs , die bekend staan ​​om hun lage kosten en innovatie in de sector, te schaden. "Kleinere bedrijven, zoals fintechs , hebben niet dezelfde regelgeving of investeringsmacht op het gebied van beveiliging als grote banken. Door hen te verplichten zich aan dezelfde strenge regels te houden als grote banken, zou het ecosysteem van kleine technologiebedrijven 'vernietigd' kunnen worden, wat hun wendbaarheid, snelheid en concurrerende prijzen in gevaar zou brengen", aldus Barbosa.

De expert merkte op dat de arrestatie van de verdachte, die naar verluidt gelokt werd door de criminele groep die verantwoordelijk was voor de misdaad, het belang onderstreept van grotere investeringen in de digitale beveiligingssector door zowel fintechs als grote banken. "Niet alleen in technologie, maar ook in procedures voor dubbele bewaring, om te voorkomen dat één enkele referentie buitensporige bevoegdheden krijgt. Dit voorkomt dat, zelfs als een referentie wordt gecompromitteerd, deze op zichzelf geen grote schade aanricht", voegde hij eraan toe.