Durante anos, muitos ataques ao sistema financeiro foram associados a operações digitais complexas, conduzidas à distância e com recurso a técnicas avançadas. No entanto, o alerta mais recente do Federal Bureau of Investigation (FBI) mostra uma realidade diferente nos Estados Unidos, em que métodos físicos, combinados com malware, voltam a ganhar espaço para retirar dinheiro de caixas automáticas/Multibanco.
De acordo com o FBI, tem-se registado um aumento de ataques a caixas automáticas que dispensam completamente o uso de cartão bancário, conta de cliente ou autorização bancária. Em vez disso, os criminosos recorrem ao acesso físico às máquinas para comprometer o seu funcionamento.
O método que está a preocupar as autoridades
Só depois de perceber como funciona este esquema é que se entende o alerta. Trata-se de uma técnica conhecida como “jackpotting”, que permite forçar uma ATM a libertar dinheiro diretamente.
Segundo o alerta técnico do FBI, os atacantes conseguem abrir a parte frontal ou o compartimento técnico da máquina, muitas vezes com recurso a chaves genéricas, e introduzem malware no sistema. Em alguns casos, removem ou substituem o disco rígido; noutros, recorrem a dispositivos externos para carregar software malicioso.
Após reiniciar, a máquina passa a responder aos comandos do malware, permitindo a libertação de dinheiro sem uma transação legítima e sem autorização do banco.
Um problema que não é novo, mas está a crescer
Segundo o FBI, este tipo de ataque tem vindo a aumentar nos Estados Unidos. Desde 2020, foram reportados quase 1.900 incidentes de ATM jackpotting naquele país. Só em 2025, ocorreram mais de 700 casos, com perdas superiores a 20 milhões de dólares.
A Europol e a Trend Micro já tinham descrito o malware dirigido a caixas automáticas como uma ameaça observada em várias regiões do mundo, com evolução ao longo dos anos. O alerta agora divulgado pelo FBI confirma uma subida relevante nos Estados Unidos e mostra que o problema não está limitado a um único fabricante, já que muitas máquinas usam tecnologias semelhantes.
Software antigo facilita ataques
Um dos fatores apontados em relatórios de segurança para este tipo de vulnerabilidade é a utilização de sistemas operativos desatualizados.
A Europol e a Trend Micro já tinham alertado que muitas ATM continuavam a funcionar com software antigo, o que podia facilitar a exploração de falhas conhecidas. O FBI, por sua vez, explica que o malware Ploutus explora a camada XFS, usada para comunicar entre o sistema da máquina e os seus componentes físicos.
Este tipo de abordagem permite contornar a autorização bancária tradicional, uma vez que os comandos são enviados diretamente para a máquina como ordens de libertação de dinheiro.
E em Portugal?
O alerta do FBI diz respeito aos Estados Unidos e não indica a existência de uma vaga semelhante na rede portuguesa. Em Portugal, a rede Multibanco é gerida pela SIBS e, segundo o Banco de Portugal, funciona como uma rede partilhada e integrada de âmbito nacional.
A SIBS afirma que a rede Multibanco dispõe de monitorização de segurança 24 horas por dia, vigilância, ligação direta às autoridades e sistemas de segurança física, incluindo deteção de gás e explosivo, inutilização de notas por tintagem e monitorização antifraude.
Ainda assim, o caso norte-americano mostra que a segurança de uma caixa automática não depende apenas da proteção digital. Quando existe acesso direto ao interior da máquina, o risco passa também pela proteção física, pela atualização do equipamento e pela capacidade de detetar manipulações anómalas.
Em Portugal, uma intrusão deste tipo poderia ainda ter enquadramento criminal na Lei do Cibercrime, nomeadamente em matérias como acesso ilegítimo, dano relativo a programas ou dados informáticos e sabotagem informática, além de eventuais crimes patrimoniais.
Medidas recomendadas
Perante este cenário, o FBI recomenda várias medidas preventivas às instituições financeiras e operadores de ATM.
Entre elas estão a substituição de fechaduras genéricas por sistemas mais seguros, a instalação de sensores que detetem vibração, alterações de temperatura ou abertura indevida, o reforço de barreiras físicas e a melhoria da videovigilância.
Também são recomendadas medidas técnicas, como validação da integridade do software, encriptação de disco, controlo de dispositivos não autorizados, auditoria de armazenamento removível, whitelisting de hardware e software, monitorização de logs e deteção de executáveis suspeitos.
O FDIC Office of Inspector General, outra autoridade norte-americana, também alertou os bancos para o mesmo fenómeno, recomendando a troca de chaves standard, alarmes nos compartimentos das ATM, encriptação do software e reforço da vigilância.
Um alerta que vai além do digital
Este tipo de ataque mostra que a segurança dos sistemas financeiros não depende apenas de firewalls ou encriptação.
Quando o acesso físico permite comprometer a máquina, o desafio passa a ser também estrutural, exigindo atualizações de hardware, reforço dos mecanismos de proteção e melhor deteção de alterações suspeitas.
Ao contrário de fraudes com cartões, este ataque não visa diretamente o PIN ou a conta do cliente. O alvo é a própria caixa automática e o dinheiro guardado no equipamento.
No final, como alertam as autoridades norte-americanas, métodos físicos aparentemente simples, quando combinados com malware, podem explorar fragilidades em sistemas que, à partida, parecem seguros.
Leia também: Autoridade Tributária esclarece: contribuintes nestas condições estão isentos do pagamento deste imposto
