После серии атак Центробанк объявляет о мерах по усилению безопасности Pix

После серии атак на систему Pix и вовлеченности в эти события преступных группировок Центральный банк в эту пятницу (5) объявил о мерах по усилению безопасности транзакций в национальной финансовой системе (SFN).

Инициатива не вносит структурных или технологических изменений в систему, а скорее фокусируется на более строгих стандартах эксплуатационных ограничений и более детальном анализе учреждений и поставщиков услуг, связанных с системой.

Меры будут опубликованы в 18:00. Одна из них — установление лимита в 15 000 реалов для Pix и TED, действующего только для транзакций, совершаемых неавторизованными платёжными учреждениями и учреждениями, подключенными к сети национальной финансовой системы через поставщиков информационно-технологических услуг (ITSP). Ранее лимита не было.

На объявлении присутствовали президент Центрального банка Габриэль Галиполо, а также директор по надзору за отношениями, гражданством и поведением Изабела Корреа и директор по регулированию Жилнеу Виван.

Галиполо заявил, что эти меры являются первым шагом, учитывая исключительный характер ситуации, но другие меры изучаются и будут приняты и объявлены в будущем.

«Невозможно полностью исключить возможность [атак]», — заявил президент Центрального банка. «Это процесс, в рамках которого мы будем постоянно объявлять о новых мерах. Учитывая исключительный характер ситуации, в которой мы оказались, мы сочли более интересным и полезным немедленно принять те меры, для реализации которых у нас есть достаточная зрелость и уверенность», — добавил он.

Меры были приняты после выявления уязвимостей агентов, подвергшихся последним хакерским атакам: поставщиков услуг информационных технологий (ITSP), инициаторов платежных транзакций (ITP) и даже платежных организаций (IP), которые еще не имеют лицензии финансового регулятора.

С июля было совершено четыре атаки с использованием системы Pix, три из которых были связаны с хищением средств:

• 2 июля: атака на систему обмена сообщениями Pix компании C&M, в результате которой, по оценкам, была украдена сумма более 1 млрд реалов ;
• 29 августа: атака на систему обмена сообщениями Pix компании Sinqia, в результате которой , по оценкам, было украдено 710 миллионов реалов ;
• 2 сентября: атака на систему обмена сообщениями Pix и TED компании Monetarie, в результате которой было украдено 4,9 млн реалов ;
• 4 сентября: Атака на систему обмена сообщениями Pix финтех-компании (название не разглашается), доказательств кражи или незаконного присвоения данных не обнаружено.

Меры Центрального банка по укреплению безопасности Pix и финансовой системы

Ниже представлен перечень мер, объявленных Центральным банком для укрепления безопасности национальной финансовой системы:

Лимит в 15 000 реалов для TED и Pix

Правило распространяется на неавторизованные платежные учреждения и те, которые подключаются к сети национальной финансовой системы через поставщиков услуг информационных технологий (ITSP).

По данным Центрального банка, ограничение может быть снято, когда участвующее учреждение и его соответствующая PSTI будут соблюдать новые процессы контроля безопасности.

В течение 90 дней участники, подтвердившие принятие мер по обеспечению информационной безопасности, могут быть освобождены от этого ограничения. Мера вступает в силу немедленно.

По данным Центрального банка, в общей сложности 72 платёжные организации уже подали заявки на авторизацию, и ожидается, что ещё 14 организаций подадут заявки на авторизацию в денежно-кредитное управление в этом году. Ещё 76 организаций, как ожидается, подадут заявки на авторизацию в следующем году.

Помимо платежных организаций, еще 70 также подали в Центральный банк разрешение на работу в финансовой системе.

Ускоренное получение учреждениями разрешения на осуществление деятельности

Начиная с этой пятницы, ни одна платёжная организация не сможет начать свою деятельность без предварительного разрешения Центрального банка. Срок подачи заявления на получение разрешения на осуществление деятельности платёжными организациями, не имеющими разрешения Центрального банка, перенесён с декабря 2029 года на май 2026 года.

Дополнительный контроль для платежных организаций

Члены сегментов S1 (крупные финансовые учреждения), S2 (средние банки), S3 и S4 (небольшие учреждения), не являющиеся кооперативами, могут выступать в качестве менеджеров Pix для неавторизованных платежных учреждений. Центральный банк установил 180-дневный срок для обновления существующих контрактов.

Независимая оценка компании

В связи с этим заявлением Центральный банк может потребовать технические сертификаты или оценки, выданные квалифицированными независимыми компаниями, с целью подтверждения соответствия требованиям авторизации учреждений, входящих в национальную финансовую систему.

Любая платёжная организация, уже предоставляющая услуги и получившая отказ в авторизации, обязана прекратить свою деятельность в течение 30 дней. Эта мера вступает в силу немедленно.

Ужесточение требований и контроля при аккредитации PSTI

Отныне поставщики услуг в области информационных технологий (ITSP) должны иметь минимальный капитал в размере 15 миллионов реалов для получения аккредитации в национальной финансовой системе. В настоящее время минимального требования к капиталу для аккредитации не существует.

Несоблюдение этого требования может привести к принятию мер предосторожности или даже к аннулированию аккредитации поставщика системы. Правило вступает в силу немедленно, и уже действующие PSTI имеют до четырёх месяцев для его соблюдения.

До тех пор пока не будет достигнуто достаточное количество средств, PSTI должны работать в пределах лимита в 15 000 реалов для транзакций TED и Pix.