Brasil – Um ataque cibernético à empresa C&M Software, que atua nos bastidores do sistema financeiro brasileiro, causou prejuízos milionários e gerou instabilidade no acesso ao Pix para clientes de diversas instituições. Segundo fontes do mercado, o valor total desviado pode chegar a R$ 1 bilhão, com perdas médias de mais de R$ 50 milhões por banco afetado.
A C&M é responsável pela chamada “mensageria”, um sistema que interliga bancos e fintechs ao Sistema de Pagamentos Brasileiro (SPB) e, por consequência, ao ambiente de liquidação do Pix, criado pelo Banco Central (BC). O ataque, segundo nota da empresa, envolveu o uso indevido de credenciais de clientes e teve como alvo direto sua infraestrutura tecnológica.
Apesar de a C&M garantir que os sistemas críticos seguem operacionais, o Banco Central determinou o desligamento do acesso das instituições financeiras à plataforma da empresa, como medida preventiva. O caso está sendo investigado pela Polícia Civil de São Paulo e deve ser assumido também pela Polícia Federal.
Bancos afetados
Entre os bancos afetados, estão o Banco Paulista e a BMP. O primeiro afirmou que o Pix foi temporariamente interrompido por uma falha no provedor terceirizado, mas sem impacto sobre dados ou transações. Já a BMP, empresa que atua no modelo “banking as a service”, confirmou que o ataque envolveu exclusivamente recursos de sua conta reserva no BC, e que nenhum cliente foi afetado. A empresa registrou lucro líquido de R$ 231 milhões no ano passado.
As autoridades ainda não divulgaram a lista completa das instituições prejudicadas, mas o jornal O Globo aponta que pelo menos seis instituições financeiras foram atingidas. Relatos indicam que os hackers desviaram cerca de R$ 400 milhões até agora, mas o valor final pode ser muito maior.
O episódio acende um alerta sobre a fragilidade de pontos terceirizados da cadeia do Pix. A partir desta semana, novas regras de segurança entram em vigor: os bancos terão de cruzar os dados das chaves Pix com a base da Receita Federal. A meta é evitar fraudes como o uso de identidades de pessoas mortas.
Novas regras de segurança
O Banco Central divulgou as novas regras de segurança para evitar fraudes no Pix. A partir desta terça-feira (1º), os bancos devem verificar com a Receita Federal as informações vinculadas ao Pix para evitar fraudes, como inclusão de pessoas mortas em chaves de terceiros.
De acordo com o Banco Central, cerca de 1% das chaves cadastradas serão afetadas e o principal objetivo da mudança é evitar fraudes. A receita constatou casos em que um nome diferente numa chave Pix do nome registrado na base de dados da Receita Federal eram cadastrados.