Um ataque hacker afetou ontem os servidores da C&M Software, empresa que conecta instituições financeiras à infraestrutura do Pix e ao Sistema de Pagamentos Brasileiro (SPB), e invadiu contas reservas de, pelo menos, seis instituições financeiras.
Banco Central, Polícia Federal e a Polícia Civil de São Paulo já investigam o caso. De acordo com a autoridade monetária, assim que foi comunicada pela C&M Software, determinou o desligamento do acesso das instituições às infraestruturas operadas pela empresa.
O tamanho do rombo causado pela ação não foi confirmado oficialmente, mas estimativas iniciais dão conta de um prejuízo entre R$ 400 milhões e R$ 1 bilhão. Embora o SPB inclua o ambiente do Pix, não há relatos de desvio de recursos da conta de usuários finais.
No entanto, em razão do desligamento da estrutura da C&M do sistema de pagamento, há registros de que alguns bancos tiveram operações Pix suspensas por alguns instantes na manhã de ontem.
A C&M é uma das oito instituições homologadas pelo BC para prestar serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria..
Os criminosos teriam usado credenciais vazadas de clientes da C&M, como login e senha, para acessar os sistemas da empresa de tecnologia. As contas reservas abrangem os recursos depositados pelas instituições financeiras para cumprirem exigências legais de reservas na autoridade monetária.
Em nota, a empresa informou que colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Polícia Civil de São Paulo, nas investigações em andamento.
"A empresa é vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços. Por orientação jurídica e em respeito ao sigilo das apurações, a C&M não comentará detalhes do processo, mas reforça que todos os seus sistemas críticos seguem íntegros e operacionais, e que as medidas previstas nos protocolos de segurança foram integralmente executadas", informou.
Dentre as instituições financeiras afetadas está a BMP. Em nota, a fintech comunicou que o ataque envolveu exclusivamente recursos depositados em sua conta reserva, mas nenhum cliente foi impactado ou teve seus recursos acessados.
"As contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária — sem qualquer relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP."
A instituição diz ainda que já adotou todas as medidas operacionais e legais cabíveis e que "conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou aos seus parceiros comerciais."
Na avaliação do colunista em tecnologia do O POVO e rádio O POVO CBN, Hamilton Nogueira, a fraude chama a atenção porque a ocorrência se deu por meio de acesso direto ao "coração" do sistema financeiro nacional.
"O caso vai repercutir muito e liga um alerta gigante. Isso porque não estamos falando de paralisar um sistema e pedir resgate. Estamos falando de entrar numa conta e ter acesso ao dinheiro. É o novo estado da arte do crime e tem potencial para mudar nossa forma de pensar toda a segurança do sistema financeiro", afirmou.
Ele explicou que, do ponto de vista quem usa o pix, não há muito o que fazer para se defender de mais esta ameaça, mas as empresas que operam no sistema tendem a ter de reforçar os investimentos em segurança cibernética.
Isso porque, do toque no celular até a transação em si, há um mundo de cabeamento, sinal wi-fi, diversos protocolos e sistemas operacionais diferentes conversando entre si.
"É um mundo tão grande que é impossível não surgir uma brecha pela qual um criminoso estudioso possa entrar mais cedo ou mais tarde, causando estragos maiores ou menores. Então, quando ocorre um caso como esse, fica o alerta de que as empresas vão ter que investir cada vez mais em controle, governança, segurança cibernética e muito mais." (Com Agência Brasil)
BC
Banco Central informou que os sistemas administrados diretamente por eles não foram afetados