Ataque hacker desvia mais de R$ 500 milhões de empresa que opera sistema Pix
A ação criminosa teria comprometido contas reservas mantidas por clientes da empresa no Banco Central
Um ataque cibernético de grandes proporções atingiu a empresa C&M Software, prestadora de serviços de tecnologia para instituições financeiras no Brasil, provocando o desvio de ao menos R$ 500 milhões. A ação criminosa teria comprometido contas reservas mantidas por clientes da empresa no Banco Central.
De acordo com especialistas em cibersegurança, o rombo total pode ultrapassar R$ 1 bilhão, sendo que mais de R$ 500 milhões teriam sido retirados de uma única instituição. A informação foi antecipada pelo Brazil Journal.
A C&M Software atua na mediação de dados entre instituições do Sistema de Pagamentos Brasileiro (SPB) e tem entre seus clientes bancos como Bradesco e XP, além de empresas como Minerva Foods e Credsystem. A companhia também está diretamente envolvida na infraestrutura de transações via Pix.
Em nota, o Banco Central confirmou que foi notificado do incidente e determinou o bloqueio de acesso às infraestruturas operadas pela empresa. Técnicos do BC estão analisando a extensão do prejuízo e verificando quanto foi possível recuperar dos valores desviados.
A SmartPay, fintech que integra operações entre o Pix e o mercado de criptoativos, afirmou que seus sistemas foram utilizados para converter os valores furtados em moedas digitais, como USDT e Bitcoin. Segundo o CEO da empresa, Rocelo Lopes, foi detectado um movimento atípico de compras na madrugada do dia 30 de junho, o que levou à interrupção imediata das transações e ao bloqueio de grandes somas.
O diretor comercial da C&M Software, Kamal Zogheib, explicou que os criminosos utilizaram credenciais legítimas de clientes, como usuário e senha, para acessar os sistemas de forma fraudulenta. A empresa afirma que todos os sistemas críticos permanecem íntegros e operacionais e que está colaborando com as investigações, conduzidas pelo Banco Central e pela Polícia Civil de São Paulo.
A Polícia Federal também foi acionada, mas ainda não instaurou inquérito. Procurada, a corporação preferiu não se manifestar sobre o caso.
Entre os afetados está a empresa BMP, prestadora de serviços bancários, que confirmou que os criminosos acessaram contas reservas de seis instituições financeiras, inclusive a sua. Essas contas são mantidas no Banco Central exclusivamente para liquidação interbancária, sendo essenciais para a gestão de risco das instituições.
A BMP afirmou que nenhum cliente foi prejudicado e que a empresa possui recursos suficientes para cobrir o impacto financeiro da invasão, sem comprometer sua operação ou a de seus parceiros.
Segundo o advogado Victor Solla Jorge, do escritório Jorge Sociedade de Advogados, caso seja comprovada falha de segurança da C&M Software, a empresa poderá ser responsabilizada e deverá ressarcir os prejuízos. Por não ser uma instituição financeira, a companhia não é obrigada a manter garantias formais, como depósitos compulsórios.
A C&M Software declarou que não comentará detalhes da investigação por orientação jurídica e em respeito ao sigilo do processo. Disse ainda que todas as medidas previstas nos protocolos de segurança foram adotadas. Desde a manhã desta terça-feira (2), o site oficial da empresa está fora do ar.
