Na última semana, um ataque hacker à C&M Software, empresa responsável por conectar sistemas de bancos ao Banco Central (BC), causou o maior incidente de sua história. Os criminosos conseguiram desviar pelo menos R$ 800 milhões de contas de oito instituições financeiras, levando o BC a desligar imediatamente a conexão entre a empresa e os sistemas do Pix.
Silêncio e investigação após o ataque ao sistema do BC
De acordo com o Banco Central, a C&M Software, que atende bancos de pequeno porte e organizações financeiras, comunicou um ataque à sua infraestrutura tecnológica. “O BC determinou o desligamento do acesso das instituições às infraestruturas por ela operadas”, afirmou a autoridade monetária em nota oficial. Até o momento, o órgão não revelou os nomes dos bancos envolvidos na ação criminosa.
Fontes próximas ao incidente indicam que a brecha de segurança teria ocorrido por uma possível vulnerabilidade no sistema da própria empresa de tecnologia e por controles internos considerados frágeis nas instituições afetadas. O BC reforçou que nenhum sistema do órgão foi comprometido e que o Pix continua operando normalmente.
Impacto e respostas das instituições financeiras
O Banco Paulista confirmou que a falha de conexão foi resultado de uma “falha externa”, atribuída a um problema no provedor terceirizado. “A falha não comprometeu dados sensíveis ou movimentações indevidas”, declarou o banco em nota. Entretanto, o incidente trouxe à tona o desvio de recursos de contas reserva de seis instituições financeiras, que são mantidas diretamente pelo BC para liquidação de operações entre bancos.
Segundo a BMP, uma das afetadas, o acesso indevido às contas reserva não afetou os recursos de seus clientes, e a instituição garantiu possuir colaterais suficientes para cobrir os valores desviados. “Nenhum cliente teve seus recursos acessados ou prejudicados”, afirmou a BMP em comunicado.
Origem e investigação do ataque cibernético
Kamal Zogheib, CEO da C&M, afirmou que a empresa foi vítima de uma ação criminosa que envolveu o uso indevido de credenciais de clientes para acesso fraudulento a seus sistemas. A companhia está colaborando com as autoridades, incluindo o Banco Central e a Polícia Civil de São Paulo, nas investigações em andamento.
O especialista em segurança da informação, Pedro Diógenes, diretor técnico da CLM, descreveu o ataque como “muito sofisticado”. Ele explicou que, ao emitir uma ordem de pagamento, a responsabilidade pela transformação dessa ordem em uma linguagem compreendida pelo BC e pelo Sistema de Pagamentos Brasileiro (SPB) recai sobre a empresa de tecnologia.
Respostas do setor e medidas futuras
O diretor do Instituto de Defesa Cibernética (IDCiber), Augusto Barros, comentou que, apesar do ataque, o setor financeiro apresenta alto investimento em tecnologia, o que permitiu uma resposta rápida e a diminuição de impactos aos usuários. “O grande impacto se dará na busca por mitigar riscos com mais efetividade”, afirmou.
Especialistas também avaliam que o episódio poderá levar o Banco Central a reforçar a regulamentação de segurança, tornando as exigências ainda mais rígidas para as empresas que atuam no sistema financeiro digital.
A Polícia Federal sede um inquérito para apurar todas as circunstâncias do ataque, enquanto o BC continua investigando the vulnerabilidades exploradas pelos criminosos e reforçando a segurança do sistema.
Para mais detalhes do caso, acesse o artigo completo.
