Os clientes não foram comprometidos, mas o caso escancarou vulnerabilidades na arquitetura digital que conecta instituições financeiras ao Pix
Por Misto Brasil – DF
Um ataque hacker de grande escala atingiu a C&M Software, empresa que presta serviços de infraestrutura para bancos, e provocou o desvio de centenas de milhões de reais de contas de liquidação ligadas ao Banco Central.
Embora os dados de clientes não tenham sido comprometidos, o caso escancarou vulnerabilidades na arquitetura digital que conecta instituições financeiras ao Pix e ao Sistema de Pagamentos Brasileiro (SPB).
O Banco Central confirmou o incidente e determinou o desligamento imediato da infraestrutura da C&M, medida que interrompeu temporariamente o Pix em bancos que utilizam a prestadora como intermediária, divulgou o InfoMoney.
A estimativa inicial do prejuízo é de R$ 800 milhões, mas fontes próximas à investigação falam em valores que podem ultrapassar R$ 3 bilhões, tornando este o maior ataque cibernético já registrado contra o sistema bancário brasileiro.
A brecha foi explorada por meio do uso de credenciais vazadas de clientes da C&M, que atua como Provedora de Serviços de Tecnologia da Informação (PSTI) — um elo entre instituições financeiras e os sistemas do Banco Central.
A empresa opera APIs de integração com o Pix, TED e outras operações do SPB, o que permite que bancos menores e fintechs se conectem indiretamente à autoridade monetária.
Segundo relatos revelados pelo BrazilJournal, o ataque começou entre a madrugada de domingo (30) e segunda-feira (1º), quando diversas transações não autorizadas foram detectadas em contas de liquidação mantidas no Banco Central.
Só da empresa BMP, especializada em Banking as a Service, teriam sido retirados R$ 400 milhões em poucos minutos. Ao menos oito instituições teriam sido afetadas.
A partir do momento em que os hackers acessaram os sistemas da C&M, PIX múltiplos foram disparados a partir das contas reservas das instituições — os chamados “cofres digitais” utilizados para liquidação interbancária, sem atingir diretamente os clientes finais.
Em nota, o BC informou que a C&M comunicou o ataque e está colaborando com as investigações. Ainda assim, a medida afetou a conexão de 293 instituições ao sistema de pagamentos, segundo dados do próprio Banco Central.
A BMP confirmou a movimentação indevida de sua conta reserva, mas garantiu que nenhum recurso de correntistas foi comprometido. O Banco Paulista, também atingido, afirmou que houve apenas uma interrupção temporária no Pix, sem vazamento de dados.
A C&M Software declarou ter sido “vítima direta” do ataque e afirmou que os sistemas críticos seguem operacionais. “O ataque incluiu o uso fraudulento de credenciais de clientes”.
“Estamos cooperando com a Polícia Federal, o Banco Central e a Polícia Civil de São Paulo”, afirmou o diretor comercial Kamal Zogheib.
