BRASÍLIA, Brasil — Uma empresa provedora de serviços de tecnologia que atende instituições financeiras sem infraestrutura de conectividade direta ao sistema de pagamentos Pix, a C&M Software, informou ao Banco Central na quarta-feira (2 de julho) ter sido alvo de um ataque hacker. O incidente gerou incerteza sobre a extensão dos danos, o número de clientes afetados e o valor total desviado.
O ataque hacker parece ter atingido exclusivamente clientes da C&M Software, excluindo os grandes bancos do país. Em resposta, o Banco Central ordenou que a empresa bloqueasse o acesso das instituições financeiras à sua infraestrutura operacional, resultando na interrupção do Pix para os clientes dessas instituições na quarta-feira.
Nesta quinta-feira, a C&M Software teve sua operação restabelecida. O Banco Central informou que a decisão foi tomada após a empresa “adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes”. As operações da C&M poderão ser retomadas em dias úteis, das 6h30 às 18h30, mediante autorização expressa da instituição participante do Pix e o reforço do monitoramento de fraudes e limites transacionais.
Divergências nos Valores Desviados e Investigações em Andamento
As informações sobre os valores desviados ainda são conflitantes. O jornal O Globo reportou que criminosos teriam desviado ao menos R$ 800 milhões de contas de oito instituições financeiras. Já o Valor Econômico citou uma fonte que estimou o roubo em aproximadamente R$ 400 milhões. Nem o Banco Central nem as instituições financeiras confirmaram ou negaram esses valores.
A Polícia Federal (PF) já está investigando o ataque hacker, de acordo com a Agência Brasil.
Kamal Zogheib, diretor comercial da C&M Software, afirmou que a empresa foi vítima de um ataque cibernético que envolveu o uso fraudulento de dados de clientes, como login e senha, em uma tentativa de acessar seus sistemas e serviços. A C&M Software é responsável por administrar a troca de informações entre instituições brasileiras ligadas ao Sistema de Pagamentos Brasileiro (SPB).
A empresa declarou na quarta-feira que, por orientação jurídica, não comentaria detalhes do processo, mas reforçou que “todos os seus sistemas críticos seguem íntegros e operacionais e que as medidas previstas nos protocolos de segurança foram integralmente executadas.” A C&M Software reiterou que seus sistemas críticos de conexão com os bancos não foram afetados e continuam funcionando. A empresa está cooperando com o Banco Central e a Polícia Estadual de São Paulo nas investigações.
Bancos Afetados e Medidas de Segurança
O Banco BMP informou à agência de notícias Reuters que, juntamente com outras cinco instituições, sofreu acesso não autorizado às suas contas durante o ataque hacker, ocorrido na segunda-feira. O BMP esclareceu que as contas afetadas são contas de reservas – mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária – sem impacto nas contas dos clientes ou nos saldos internos. O BMP garantiu que possui garantias suficientes para cobrir integralmente o valor impactado, sem prejuízo às suas operações ou parceiros comerciais.
Uma autoridade familiarizada com a investigação, que falou à Reuters sob condição de anonimato, revelou que a C&M presta serviços a cerca de duas dezenas de pequenas instituições financeiras, e os valores envolvidos no ataque hacker não chegam a bilhões de reais. Outra fonte assegurou que não houve perdas para os clientes.
O Banco Paulista também alegou ter sido vítima do golpe, afirmando que o ataque causou a interrupção temporária de seu serviço de Pix. Segundo o banco, a falha foi externa e não comprometeu dados sensíveis nem gerou movimentações indevidas.
O jornal Valor Econômico reportou que a empresa Credsystem também teria sido afetada. A Credsystem manifestou que “o impacto direto nas operações da Credsystem se restringe apenas ao serviço de Pix, que está temporariamente fora do ar por determinação do BACEN (Banco Central), porém nossos clientes poderão continuar utilizando normalmente e sem custo o serviço de TED.” A empresa está colaborando com os envolvidos para o rápido restabelecimento do serviço.
Apesar das garantias das empresas e do Banco Central de que os clientes não foram afetados, a falta de informações detalhadas sobre a extensão do ataque hacker e os valores confirmados levanta preocupações sobre a segurança dos sistemas de pagamento no Brasil. O desfecho das investigações da Polícia Federal será crucial para esclarecer a dimensão do incidente e suas consequências.
