Empresas que prestam serviços de tecnologia da informação para conectar bancos ao Pix devem ver um aumento dos custos operacionais após o ataque hacker descoberto no início de julho. Fontes do setor afirmam que o Banco Central abriu diálogo com companhias do segmento pouco depois da C&M Software ser vítima de uma invasão que resultou em um roubo milionário.Há expectativa de que novas exigências e um aperto de fiscalização do Banco Central aumente os custos de infraestrutura para quem atua como Provedor de Serviços de Tecnologia da Informação (PSTI). São as empresas de tecnologia responsáveis por conectar instituições financeiras à Rede do Sistema Financeiro Nacional (RSFN), onde podem participar de sistemas como o de pagamentos instantâneos, o Pix.“Se a regulação sobe, os custos sobem automaticamente”, observa o head da Tivit Techfin, Rafael Maia. “Obviamente, o Pix não é cobrado do cliente final usuário, mas das empresas e instituições ele é”, afirma o executivo da empresa que foi recentemente homologada como PSTI, processo que antecede o primeiro contrato para obter o status ativo.Entre as atitudes mais rigorosas que podem entrar no escopo do BC, empresas consideram que a autarquia deve definir novos padrões e ampliar a checagem de documentações. Mas para o vice-presidente de tecnologia da Evertec + Sinqia, Carlos Sangiorgio, a principal medida do BC deve ser assumir um papel de auditor.Leia também: Ataque à C&M é maior golpe a instituições financeiras no país, diz polícia de SPLeia também: Fraude no Pix: Entenda golpe que desviou R$ 800 milhões da C&M“O Banco Central não tem como controlar se alguém roubou uma credencial, mas ele pode falar para a empresa o seguinte: ‘Me dê a lista de todos que têm acesso ao ambiente e que poderiam roubar um certificado’. A partir dos nomes, ele confirma se todos têm autenticação, pode até puxar a ficha criminal”, diz Sangiorgio. “Isso obviamente aumenta muito a segurança. Com auditoria, a empresa tem que evidenciar que realmente toma medidas, não apenas falar”. A Sinquia é uma das sete instituições ativas no PSTI.Hoje, a jornada para se tornar um PSTI leva até oito etapas, que vão desde o planejamento regulatório, passando pela solicitação formal ao BC, seleção e homologação, testes técnicos, certificados de segurança, um piloto operacional, avaliação e, finalmente, a operação contínua de monitoramento.Para cada operação Pix feita em uma instituição financeira, o provedor recebe em média 1 centavo de real, contra um custo de infraestrutura que envolve redes, links, data centers de contingência e suporte 24 horas, por exemplo. Esse valor pode ser maior ou menor dependendo da proposta feita na concorrência, considerando o volume de negociações mensais da instituição financeira.O problema mora justamente aí: as margens de lucro dos PSTI já são apertadas e um aumento nos custos relacionados à segurança pressionariam ainda mais os negócios, que precisariam repassar o encarecimento em novos contratos com as instituições financeiras. Importante reforçar que nada disso implica custos às pessoas que enviam ou recebem Pix, o que segue sendo gratuito. De acordo com Sangiorgio, da Sinqia, 20 milhões de transações por mês garantem viabilidade de uma operação desse tipo. Ele avalia, no entanto, que os custos para quem já atua com altos padrões de segurança não deve ser tão alterado.O Banco Central não respondeu ao InfoMoney se pretende mudar as regras de fiscalização e auditoria de segurança envolvendo os PSTIs ou quais seriam elas.Segundo apurou o InfoMoney, desde a semana seguinte ao caso envolvendo a C&M Software o regulador procurou empresas do setor para tratar das iniciativas adotadas pelas companhias quanto à segurança. Ao menos à Sinqia, o BC pediu resposta a um formulário envolvendo fatores de segurança de rede, comportamentais e a capacidade da empresa de acionar um circuit breaker para casos de risco, uma espécie de “botão de pânico”.Relembre como foi o ataque hackerEm 2 de julho, foi revelado que um ataque à C&M acessou contas mantidas por instituições financeiras junto ao BC. Estimativas apontaram para perdas entre R$ 500 milhões e R$ 1 bilhão que não impactaram diretamente os clientes das instituições afetadas. A polícia prendeu João Nazareno Roque, ex-funcionário da C&M acusado de facilitar o acesso dos criminosos aos sistemas internos.PSTIs são contratados normalmente por instituições financeiras de menor porte, como bancos médios, digitais, regionais, fintechs, instituições de pagamento e cooperativas, para terceirizar o desenvolvimento de infraestrutura e se conectar ao sistema do Pix.Os bancos incumbentes — Bradesco, Itaú, BB, Santander — possuem PSTI dentro da sua própria infraestrutura digital. Instituições do porte de BTG, Safra, Banrisul e BV podem possuir um modelo próprio ou híbrido.Qualquer instituição que queira atuar como participante direto em sistemas como o Pix precisa de um PSTI, seja interno ou contratado. Participantes indiretos, aqueles que não se conectam com o RSFN, precisam ter um intermediário direto.The post Ataque hacker faz BC endurecer controle sobre empresas de tecnologia para Pix appeared first on InfoMoney.