Ataque hacker bilionário deixa clientes de bancos sem acesso ao Pix

O ataque hacker que teve como alvo a C&M Software, empresa que presta serviços para instituições provedoras de contas transacionais que não possuem meios de conexão própria, afetou clientes de alguns bancos, que ficaram sem acesso ao Pix.

Fundada em 1992, a C&M Software é a companhia responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) – o que engloba o ambiente de liquidação do Pix, sistema de transferências e pagamentos instantâneos criado pelo Banco Central (BC) em 2020 e amplamente utilizado pelos brasileiros. O principal foco de atuação da empresa é o desenvolvimento de soluções para operações no ecossistema de pagamentos instantâneos.

De acordo com relatos do mercado financeiro reproduzidos pelo jornal O Globo, pelo menos seis instituições financeiras teriam sido afetadas pela ação criminosa, com desvios de recursos de contas de empresas e interrupção temporária de operações via Pix.

Uma dessas instituições atingidas é o Banco Paulista, que relatou que “uma falha no provedor terceirizado” levou à interrupção temporária do Pix. Segundo nota do banco, suas equipes técnicas vêm trabalhando em parceria com o BC para o restabelecimento do serviço o mais rápido possível.

“A falha foi externa, não comprometeu dados sensíveis nem gerou movimentações indevidas”, afirmou o Banco Paulista, por meio de nota.

Uma das instituições mais afetadas foi a BMP, provedora de serviços de “banking as a service” que está em operação desde 1999. No ano passado, a BMP reportou uma receita bruta de R$ 804 milhões e um lucro líquido de R$ 231 milhões.

Também em nota, a BMP afirmou que nenhum cliente foi atingido no ataque hacker.

“No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou a seus parceiros comerciais”, diz o comunicado.

A companhia diz ainda que continua operando normalmente, “com total segurança”, e “reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações”.

O que dizem C&M e BC sobre o ataque hacker

A C&M Software confirmou que foi vítima de um ataque hacker. Embora até o momento não haja nenhuma informação oficial sobre valores, o prejuízo pode ter alcançado cerca de R$ 1 bilhão, segundo informações do site Brazil Journal. Relatos iniciais sobre o caso apontam que os hackers teriam desviado pelo menos R$ 400 milhões.

Apesar de os nomes de todas as instituições financeiras afetadas não terem sido divulgados, estimativas iniciais apontam que cada banco ou fintech teria registrado perdas acima de R$ 50 milhões, em média.

Em nota, a C&M confirma que foi “vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços”.

“Por orientação jurídica e em respeito ao sigilo das apurações, a C&M não comentará detalhes do processo, mas reforça que todos os seus sistemas críticos seguem íntegros e operacionais e que as medidas previstas nos protocolos de segurança foram integralmente executadas”, diz a empresa.

A C&M informou ainda que está colaborando com as autoridades competentes, como o BC e a Polícia Civil de São Paulo, nas investigações sobre o ataque hacker. O Metrópoles também apurou que a Polícia Federal (PF) deve investigar o ataque cibernético contra a prestadora de serviços.

O BC, por sua vez, informou que “a C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica”.

“O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”, afirmou a autoridade monetária.