Uma empresa provedora de serviços de tecnologia que atende instituições financeiras sem infraestrutura de conectividade ao sistema brasileiro de pagamentos PIX informou o Banco Central na quarta-feira (2/7) que sofreu um ataque cibernético de hackers aos seus sistemas. O ataque teria afetado apenas instituições financeiras que são clientes da empresa de tecnologia C&M Software, o que não inclui grandes bancos.

Fonte: BBC-Londres

O Banco Central e as instituições financeiras não divulgaram informações suficientes sobre o ataque para se entender quantos clientes podem ter sido afetados e o total de quanto dinheiro teria sido desviado. O ataque teria afetado apenas instituições financeiras que são clientes da empresa de tecnologia C&M Software, o que não inclui os grandes bancos.

O Banco Central do Brasil não forneceu mais detalhes sobre o ataque, mas afirmou em comunicado que ordenou à empresa C&M Software que bloqueasse o acesso das instituições financeiras à infraestrutura que opera. Isso fez com que os clientes das instituições atendidas pela empresa ficassem sem acesso ao Pix na quarta-feira.

Nesta quinta-feira, a empresa voltou a poder operar. Segundo o Banco Central, “a decisão foi tomada após a empresa adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes”.

“As operações da C&M poderão ser restabelecidas em dias úteis, das 6h30 às 18h30, desde que haja anuência expressa da instituição participante do Pix e o robustecimento do monitoramento de fraudes e limites transacionais”, afirma nota do Banco Central.

Reportagem do jornal O Globo afirma que criminosos teriam conseguido desviar recursos de contas de oito instituições financeiras, no valor de ao menos R$ 800 milhões, segundo relatos de pessoas a par do assunto. Já o jornal econômico Valor Econômico cita uma fonte que diz que cerca de R$ 400 milhões foram roubados.

Mas a informação não foi confirmada ou negada pelo Banco Central ou pelas instituições financeiras. A Polícia Federal (PF) investigará o ataque hacker, segundo dados da Agência Brasil.

O diretor comercial da C&M Software, Kamal Zogheib, afirmou que a empresa foi vítima de um ataque cibernético que envolveu o uso fraudulento de dados de clientes — como login e senha — na tentativa de acessar seus sistemas e serviços. A empresa administra a troca de informações entre instituições brasileiras ligadas ao Sistema de Pagamentos Brasileiro (SPB).

“Por orientação jurídica e em respeito ao sigilo das apurações, a C&M não comentará detalhes do processo, mas reforça que todos os seus sistemas críticos seguem íntegros e operacionais e que as medidas previstas nos protocolos de segurança foram integralmente executadas”, disse a empresa em nota na quarta-feira.

Segundo a empresa, os sistemas críticos de conexão com os bancos não foram afetados e seguem funcionando. A empresa está cooperando com o Banco Central e a Polícia Federal de São Paulo na investigação em andamento, disse Zogheib.

O Banco BMP informou à agência de notícias Reuters que, junto com outras cinco instituições, sofreu acesso não autorizado às suas contas durante o ataque, ocorrido na segunda-feira.

O BMP afirmou que as contas afetadas são contas de reservas — mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária (quando bancos pagam valores entre si), sem impacto nas contas dos clientes ou nos saldos internos.

O BMP disse que tomou todas as medidas operacionais e legais necessárias e possui garantias suficientes “para cobrir integralmente o valor impactado, sem qualquer prejuízo às suas operações ou parceiros comerciais”.

Uma autoridade que tem conhecimento da investigação em andamento, que falou sob condição de anonimato à Reuters, disse que a C&M presta serviços a cerca de duas dúzias de pequenas instituições financeiras, e os valores envolvidos no ataque não chegam a bilhões de reais. Outra fonte disse à agência que não houve perdas para os clientes.

O Banco Paulista também alegou ter sido vítima do golpe. Em um comunicado, afirmou que o ataque causou a interrupção temporária do seu serviço de Pix. Segundo o banco, a falha foi externa e não comprometeu dados sensíveis nem gerou movimentações indevidas.

O jornal Valor Econômico afirma que a empresa Credsystem também teria sido afetada. Segundo o jornal, a empresa manifestou que “o impacto direto nas operações da Credsystem se restringe apenas ao serviço de Pix, que está temporariamente fora do ar por determinação do BACEN (Banco Central), porém nossos clientes poderão continuar utilizando normalmente e sem custo o serviço de TED. No momento, estamos colaborando com os envolvidos para o rápido reestabelecimento do serviço.”

---