Um ataque hacker de grandes proporções atingiu o sistema financeiro brasileiro na última quarta-feira (2), resultando no desvio de valores milionários de contas operadas por meio da infraestrutura da empresa C&M Software. A Polícia Federal iniciou uma investigação para identificar os responsáveis e rastrear os recursos transferidos. O episódio revelou sérias vulnerabilidades no ecossistema de pagamentos digitais, especialmente nas integrações entre instituições financeiras e o Banco Central.
Ataque hacker expõe brechas em sistema de pagamentos
O ataque hacker afetou pelo menos seis instituições financeiras e gerou impactos em cadeia nas operações de pagamentos. Segundo a Polícia Federal, os criminosos teriam utilizado credenciais legítimas de clientes da C&M Software, empresa que atua como intermediária entre instituições financeiras de menor porte e o Sistema de Pagamentos Brasileiro (SPB).
A ação criminosa atingiu contas de liquidação de pelo menos oito bancos e empresas do setor financeiro, permitindo a movimentação rápida de valores por meio do Pix.
A principal linha de investigação aponta que os invasores exploraram falhas nos sistemas de mensageria utilizados para o tráfego de informações entre os bancos e o Banco Central. Com o uso indevido de credenciais válidas de clientes da C&M Software, os autores do ataque conseguiram acesso a contas conhecidas como “contas reserva”, mecanismos utilizados para liquidação entre instituições financeiras.
Transações simultâneas
Em questão de minutos, valores expressivos foram transferidos por meio de dezenas de transações quase simultâneas. O uso do Pix como método de envio acelerou a dispersão dos recursos, o que dificulta consideravelmente o rastreamento e a recuperação dos valores desviados. A BMP, empresa de serviços bancários digitais, teve um prejuízo estimado em R$ 400 milhões. No total, as perdas já ultrapassam R$ 800 milhões e podem alcançar mais de R$ 3 bilhões.
Investigação e medidas emergenciais
A Polícia Federal trabalha em conjunto com o Banco Central e a Polícia Civil de São Paulo para mapear a rota do dinheiro, identificar os autores e entender como as credenciais foram comprometidas. Uma das frentes da investigação analisa a possível participação de organizações criminosas especializadas em fraudes digitais.
O caso levantou questionamentos sobre os atuais protocolos de segurança utilizados por Provedores de Serviços de Tecnologia da Informação (PSTIs), como a C&M. Apesar de a estrutura principal do Banco Central não ter sido invadida diretamente, o episódio evidenciou vulnerabilidades graves na cadeia tecnológica que suporta operações digitais como Pix e TED.
O Banco Central, ao tomar conhecimento do ataque, determinou o desligamento temporário da infraestrutura da C&M Software, medida que afetou a operação do Pix em cerca de 300 instituições que utilizam os serviços da empresa para integrar-se ao sistema bancário nacional.
Posicionamentos oficiais
A C&M Software declarou ter sido vítima direta da ação e afirmou que está colaborando com as autoridades competentes. A empresa também se comprometeu a reforçar seus mecanismos de segurança. O Banco Central confirmou o incidente e segue acompanhando o caso de perto, reforçando a necessidade de aperfeiçoamento das normas de segurança digital no país.
