O ataque hacker que desviou milhões de reais de contas do Banco Central (BC), mantidas por instituições financeiras para cumprir exigências legais, não envolveu o vazamento ou extração de dados de clientes e bancos, informou nesta quinta-feira (3) a C&M Software. De acordo com a empresa, a invasão consistiu na simulação de transações em nome das instituições financeiras, sem que houvesse invasão de seus sistemas. A companhia é homologada pelo Banco Central para prestar serviços de tecnologia.
Na noite de terça-feira (1º), criminosos utilizaram credenciais legítimas de instituições financeiras para desviar dinheiro das contas reservas que essas instituições mantêm no BC. Os recursos foram enviados por Pix a corretoras de criptomoedas. Conforme a Empresa Brasil de Comunicação (EBC), pelo menos R$ 400 milhões foram desviados. O incidente foi divulgado na quarta-feira (2) e, segundo a C&M, não houve impacto nos recursos de correntistas, limitando-se à infraestrutura tecnológica de sua plataforma.
A empresa explicou que a fraude foi cometida por meio de uma simulação de integração, em que foram usadas credenciais de acesso legítimas, como se o criminoso fosse um cliente autorizado. Em resposta, a C&M anunciou que está revisando sua política de acesso externo e utilização de APIs, buscando reduzir vulnerabilidades compartilhadas entre a prestadora e as instituições financeiras. Entre as medidas anunciadas, estão o aumento nos padrões de homologação para clientes acessarem os sistemas, uma auditoria externa independente para avaliar a segurança e o fortalecimento de revisões de governança e infraestrutura interna.
Uma das hipóteses levantadas é que a invasão foi possível devido à ausência da ativação de todos os protocolos de segurança, que incluem múltiplos fatores de validação, controles por horários e canais, além de aprovação em mais de uma etapa. A C&M destacou que, apesar de disponibilizar ferramentas avançadas para fortalecer a segurança, as instituições financeiras têm o poder de configurar essas medidas conforme sua governança interna. “A CMSW monitora o funcionamento técnico e os acessos, mas respeita a autonomia e governança de cada cliente sobre suas permissões internas. A responsabilidade pelo uso das credenciais é da instituição que as detém, assim como a utilização de todas as funcionalidades de segurança disponíveis no Corner [sistema de login]”, afirmou a companhia.
Nesta quinta-feira de manhã, o Banco Central restabeleceu parcialmente as operações Pix da C&M, que haviam sido suspensas por determinação cautelar. O retorno das operações, descrito como “sob regime de produção controlada”, permite transações em dias úteis entre 6h30 e 18h30, desde que supervisionadas e submetidas à anuência expressa das instituições participantes do Pix. Essa decisão foi tomada após a C&M comprovar a implementação de medidas para reforçar a segurança de seus sistemas.
A empresa não detalhou o montante total de recursos recuperados, mas informou que parte do dinheiro foi restituída por meio do Mecanismo Especial de Devolução (MED), ferramenta criada em 2021 para ressarcir vítimas de fraudes ou erros no Pix. Segundo a C&M, a taxa de devolução dos valores através do MED foi superior à média do mercado, devido à rápida identificação da fraude.
A C&M reiterou que permanece colaborando com a Polícia Federal, o Banco Central e a Polícia Civil de São Paulo nas investigações. A empresa também salientou que, em sua função de provedora de tecnologia homologada, não possui contas transnacionais nem movimenta valores próprios. A companhia afirmou que o ataque não comprometeu os demais sistemas operacionais, visto que suas infraestruturas funcionam de forma independente, isoladas por módulos específicos, conforme requer o Sistema de Pagamentos Brasileiro (SPB).
