/i.s3.glbimg.com/v1/AUTH_63b422c2caee4269b8b34177e8876b93/internal_photos/bs/2024/B/H/uBp8wkQEixu7JCQ5Xfaw/shahadat-rahman-bfrqnkbulyq-unsplash.jpg)
A C&M Software, empresa que presta serviços para o setor financeiro e se conecta com a infraestrutura do Pix, sofreu um ataque hacker nesta terça-feira (1º). Segundo relatos, os criminosos usaram a porta de entrada da C&M e teriam acessado contas reservas mantidas por cinco instituições financeiras junto ao Banco Central, conseguindo desviar pelo menos R$ 400 milhões.
A C&M foi fundada em 1992 por Orli Machado e é responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix. Procurada, a empresa disse que colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Policia Civil de São Paulo, nas investigações em andamento.
“A empresa é vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços. Por orientação jurídica e em respeito ao sigilo das apurações, a C&M não comentará detalhes do processo, mas reforça que todos os seus sistemas críticos seguem íntegros e operacionais, e que as medidas previstas nos protocolos de segurança foram integralmente executadas.”
Uma das instituições que teve sua conta reserva afetada foi a BMP. Segundo a empresa, nenhum cliente foi impactado ou teve seus recursos acessados.
“No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais”, diz a BMP em nota.
Fontes do setor afirmam que a C&M foi imediatamente desconectada do ambiente do Banco Central e as autoridades competentes estão conduzindo uma investigação sobre o ocorrido. A Polícia Federal também deve investigar o caso. A C&M atua como Provedor de Serviços de Tecnologia da Informação (PSTI), conectando instituições financeiras ao Banco Central, através do Sistema de Pagamentos Brasileiro (SPB) e o Sistema de Pagamentos Instantâneos (SPI). Ela faz a conexão com a Rede do Sistema Financeiro Nacional (RFSN) para participantes que não têm essa ligação direta com o BC.
Uma pequena fração do dinheiro desviado teria sido recuperada pelas instituições afetadas, via o MED, mecanismo especial de devolução do Pix. Ainda assim, participantes da indústria criticam a segurança do BC. “Todos os bancos são obrigados a ter travas de volumetria, e o BC em si não tem. Como conseguem desviar pelo menos R$ 400 milhões e o sistema do BC não detecta risco de fraude?”, questiona uma fonte.
A BMP reforça que segue operando normalmente, “com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações”.
Procurado, o BC informou que “a C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”.
Já o Banco Paulista afirmou que uma falha em um provedor terceirizado causou uma interrupção temporária no seu sistema de Pix. “A falha foi externa, não comprometeu dados sensíveis nem gerou movimentações indevidas. As equipes técnicas, em conjunto com o Banco Central, atuam para restabelecer o serviço o quanto antes”. (Colaborou Tiago Angelo)