Ataque
cibernético mais sofisticado da história do País coloca em xeque a
credibilidade do sistema financeiro
Um
simples Pix de R$ 18 milhões às quatro da manhã disparou o alarme que expôs o
maior roubo já registrado na infraestrutura financeira brasileira. A operação,
reconstruída em detalhes pelo Brazil Journal, mostra como hackers exploraram
vulnerabilidades da C&M Software — empresa que faz a “mensageria” entre 293
instituições e o Banco Central — para desviar cerca de R$ 800 milhões das
chamadas contas-reserva.
Segundo
o Brazil Journal, o ataque começou quando um executivo da BMP, plataforma de
banking as a service, foi avisado de uma transferência não autorizada. Ao
checar o back-office, descobriu que outros Pix indevidos haviam saído de sua
conta reserva, somando R$ 400 milhões. “Nossa parte foi de R$ 400 milhões, mas
já recuperamos R$ 130 milhões”, disse o fundador da BMP, Carlos Eduardo
Benitez. “Nossos clientes estão 100% protegidos. Nenhuma conta de cliente foi
afetada e nenhum dado foi vazado.”
<><>
Como o golpe atravessou o Sistema Brasileiro de Pagamentos
A
C&M — classificada pelo BC como Provedora de Serviços de Tecnologia da
Informação (PSTI) — oferece APIs que permitem a fintechs se conectarem ao
Sistema Brasileiro de Pagamentos (SBP) sem infraestrutura própria. Foi por essa
“porta” que os criminosos, munidos de credenciais legítimas, iniciaram uma
série de transferências em minutos, respeitando todos os critérios técnicos de
segurança exigidos pelo BC.
“O que
chegou foi uma ordem lícita, que partiu do participante do sistema, por meio de
seu prestador. Era uma ordem que atendia todos os critérios de segurança do
BC,” relatou uma fonte próxima à autoridade monetária ao Brazil Journal,
comparando o episódio a “uma compra com chip e senha corretos num cartão de
crédito”.
Para
tentar conter novas fraudes, a própria C&M desabilitou temporariamente o
Pix das instituições afetadas e passou a trabalhar com o BC na identificação do
ponto exato de falha. “O processo de segurança é dinâmico e contínuo de
aprendizado… Há lições a serem extraídas desse episódio”, acrescentou a mesma
fonte do Banco Central.
<><>
Conversão imediata em cripto: a rota de fuga
Depois
de sacar os valores, os hackers correram para convertê-los em criptomoedas,
sobretudo USDT e Bitcoin, usando provedores integrados ao Pix, mesas OTC e
exchanges. Rocelo Lopes, CEO da SmartPay e criador da carteira Truther,
percebeu atividade atípica às 0h18 de 30 de junho:
“Congelamos
grandes somas e devolvemos às instituições envolvidas. Se o sistema tivesse
mecanismos para analisar transações atípicas, esse problema não teria ocorrido…
Nessa era de IA, você não ter uma AI que possa analisar isso é complicado.”
Apesar
das retenções pontuais, parte do dinheiro continua circulando em blockchains,
dificultando o rastreamento definitivo.
<><>
Risco sistêmico e credibilidade em xeque
A
invasão expõe uma fragilidade estrutural justamente no elo onde a digitalização
financeira avança mais rápido: as mensagerias que conectam bancos digitais,
fintechs e cooperativas ao núcleo do BC. Ao contrário dos grandes bancos, que
têm links diretos, as instituições menores dependem de PSTIs terceirizadas.
Para
especialistas, a combinação de contas-reserva (onde se misturam fundos próprios
e de clientes), liquidação instantânea via Pix e diversificação de agentes
tecnológicos criou o ambiente perfeito para um ataque coordenado em larga
escala. Se o montante não for recuperado, a BMP pode sofrer perda líquida
próxima de R$ 300 milhões — metade de sua liquidez pré-incidente — e outras
sete instituições também reportam prejuízos relevantes.
O Banco
Central e a Polícia Federal seguem examinando logs e rastros em blockchain para
medir o dano real e propor novos protocolos de detecção de anomalias em tempo
real. Enquanto isso, o caso já é tratado como “o ataque cibernético mais
sofisticado e caro da história do País”, deixando em aberto uma pergunta
crucial: até que ponto as engrenagens digitais do sistema financeiro estão
preparadas para golpes cada vez mais tecnológicos e velozes?
• O que se sabe do ataque hacker que
desviou centenas de milhões de reais e afetou Pix
Uma
empresa provedora de serviços de tecnologia que atende instituições financeiras
sem infraestrutura de conectividade ao sistema de pagamentos Pix informou o
Banco Central na quarta-feira (2/7) que sofreu um ataque cibernético aos seus
sistemas.
O Banco
Central e as instituições financeiras não divulgaram informações suficientes
sobre o ataque para se entender quantos clientes podem ter sido afetados e
quanto dinheiro teria sido desviado. O ataque teria afetado apenas instituições
financeiras que são clientes da empresa de tecnologia C&M Software, o que
não inclui grandes bancos.
O Banco
Central não forneceu mais detalhes sobre o ataque, mas afirmou em comunicado
que ordenou à empresa C&M Software que bloqueasse o acesso das instituições
financeiras à infraestrutura que opera. Isso fez com que os clientes das
instituições atendidas pela empresa ficassem sem acesso ao Pix na quarta-feira.
Nesta
quinta-feira, a empresa voltou a poder operar. Segundo o Banco Central, "a
decisão foi tomada após a empresa adotar medidas para mitigar a possibilidade
de ocorrência de novos incidentes".
"As
operações da C&M poderão ser restabelecidas em dias úteis, das 6h30 às
18h30, desde que haja anuência expressa da instituição participante do Pix e o
robustecimento do monitoramento de fraudes e limites transacionais",
afirma nota do Banco Central.
Reportagem
do jornal O Globo afirma que criminosos teriam conseguido desviar recursos de
contas de oito instituições financeiras, no valor de ao menos R$ 800 milhões,
segundo relatos de pessoas a par do assunto. Já o jornal econômico Valor
Econômico cita uma fonte que diz que cerca de R$ 400 milhões foram roubados.
Mas a
informação não foi confirmada ou negada pelo Banco Central ou pelas
instituições financeiras.
A
Polícia Federal (PF) investigará o ataque hacker, segundo dados da Agência
Brasil.
O
diretor comercial da C&M Software, Kamal Zogheib, afirmou que a empresa foi
vítima de um ataque cibernético que envolveu o uso fraudulento de dados de
clientes — como login e senha — na tentativa de acessar seus sistemas e
serviços.
A
empresa administra a troca de informações entre instituições brasileiras
ligadas ao Sistema de Pagamentos Brasileiro (SPB).
"Por
orientação jurídica e em respeito ao sigilo das apurações, a C&M não
comentará detalhes do processo, mas reforça que todos os seus sistemas críticos
seguem íntegros e operacionais e que as medidas previstas nos protocolos de
segurança foram integralmente executadas", disse a empresa em nota na
quarta-feira.
Segundo
a empresa, os sistemas críticos de conexão com os bancos não foram afetados e
seguem funcionando.
A
empresa está cooperando com o Banco Central e a Polícia Estadual de São Paulo
na investigação em andamento, disse Zogheib.
O banco
BMP informou à agência de notícias Reuters que, junto com outras cinco
instituições, sofreu acesso não autorizado às suas contas durante o ataque,
ocorrido na segunda-feira.
O BMP
afirmou que as contas afetadas são contas de reservas — mantidas diretamente no
Banco Central e utilizadas exclusivamente para liquidação interbancária (quando
bancos pagam valores entre si), sem impacto nas contas dos clientes ou nos
saldos internos.
O BMP
disse que tomou todas as medidas operacionais e legais necessárias e possui
garantias suficientes "para cobrir integralmente o valor impactado, sem
qualquer prejuízo às suas operações ou parceiros comerciais".
Uma
autoridade que tem conhecimento da investigação em andamento, que falou sob
condição de anonimato à Reuters, disse que a C&M presta serviços a cerca de
duas dúzias de pequenas instituições financeiras, e os valores envolvidos no
ataque não chegam a bilhões de reais.
Outra
fonte disse à agência que não houve perdas para os clientes.
O Banco
Paulista também alegou ter sido vítima do golpe. Em um comunicado, afirmou que
o ataque causou a interrupção temporária do seu serviço de Pix. Segundo o
banco, a falha foi externa e não comprometeu dados sensíveis nem gerou
movimentações indevidas.
O
jornal Valor Econômico afirma que a empresa credsystem também teria sido
afetada. Segundo o jornal, a empresa manifestou que "o impacto direto nas
operações da credsystem se restringe apenas ao serviço de Pix, que está
temporariamente fora do ar por determinação do BACEN (Banco Central), porém
nossos clientes poderão continuar utilizando normalmente e sem custo o serviço
de TED. No momento, estamos colaborando com os envolvidos para o rápido
reestabelecimento do serviço."
• PF abre inquérito para apurar ataque a
sistemas de instituições financeiras; BC não foi afetado
A
Polícia Federal (PF) abriu nesta quarta-feira (2) um inquérito para investigar
um ataque hacker a sistemas de instituições financeiras que tiveram as contas
invadidas por meio da C&M Software — empresa que presta serviços
tecnológicos e conecta instituições financeiras ao Banco Central (BC).
A
informação foi confirmada à GloboNews pelo diretor-geral da PF, Andrei
Rodrigues.
O BC
informou mais cedo nesta quarta que a C&M Software comunicou um ataque à
sua infraestrutura e que determinou o desligamento do acesso das instituições
às infraestruturas operadas pela empresa.
• 🔎 A C&M, alvo do
ataque, é uma empresa que presta serviços de tecnologia da informação (TI) para
instituições participantes do PIX. Ela é homologada pelo BC para essa função,
assim como outras oito empresas no país.
<><>
Acesso a sistemas do BC
Em
nota, o diretor comercial da C&M Software, Kamal Zogheib, afirmou que a
empresa foi vítima direta de uma ação criminosa, que envolveu o uso indevido de
credenciais de clientes para tentar acessar seus sistemas e serviços de forma
fraudulenta.
"A
CMSW confirma que colabora ativamente com as autoridades competentes, incluindo
o Banco Central e a Polícia Civil de São Paulo, nas investigações em
andamento", disse.
Zogheib
acrescentou que a empresa não comentará detalhes do processo por orientação
jurídica e em respeito ao sigilo das investigações, mas reforçou que todos os
sistemas críticos da companhia permanecem “íntegros e operacionais” e destacou
que todas as medidas previstas nos protocolos de segurança foram “integralmente
executadas”.
Uma das
empresas afetadas, a BMP, que fornece infraestrutura para plataformas bancárias
digitais, o incidente envolvendo a C&M permitiu o acesso indevido a contas
de reserva de pelo menos seis instituições financeiras. O BC não informou quais
instituições foram afetadas.
🔎 As contas reserva são mantidas
diretamente no BC e utilizadas exclusivamente para liquidação interbancária —
processo pelo qual instituições financeiras realizam transferências de recursos
entre si.
Dessa
forma, segundo a BMP, o ataque não teve relação com as contas de clientes
finais nem com os saldos mantidos dentro da instituição.
“Reforçamos
que nenhum cliente BMP foi impactado ou teve seus recursos acessados”, afirmou
em nota oficial, destacando que o incidente envolveu exclusivamente recursos
depositados em sua conta de reserva no BC.
“A
instituição já adotou todas as medidas operacionais e legais cabíveis, e conta
com colaterais suficientes para cobrir integralmente o valor impactado, sem
prejuízo à sua operação ou aos seus parceiros comerciais”, informou a BMP em
nota, reiterando que continua a operar normalmente.
>>>>Veja
as notas sobre o caso, na íntegra
<><>
Banco Central do Brasil (BC)
A
C&M Software, prestadora de serviços de tecnologia para instituições
provedoras de contas transacionais que não possuem meios de conexão própria,
comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à
C&M o desligamento do acesso das instituições às infraestruturas por ela
operadas.
<><>
CMSW (C&M Software)
A CMSW
[C&M Software] confirma que colabora ativamente com as autoridades
competentes, incluindo o Banco Central e a Polícia Civil de SP, nas
investigações em andamento.
A
empresa é vítima direta da ação criminosa, que incluiu o uso indevido de
credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas
e serviços.
Por
orientação jurídica e em respeito ao sigilo das apurações, a CMSW não comentará
detalhes do processo, mas reforça que todos os seus sistemas críticos seguem
íntegros e operacionais, e que as medidas previstas nos protocolos de segurança
foram integralmente executadas.
Grato
Diretor
Comercial da CMSW
<><>
BMP
NOTA
OFICIAL — INCIDENTE DE SEGURANÇA NA INFRAESTRUTURA DA C&M SOFTWARE
A BMP
informa que, nesta segunda-feira, foi identificada uma ocorrência de segurança
envolvendo a C&M Software — empresa autorizada e supervisionada pelo Banco
Central do Brasil, responsável pela mensageria que interliga instituições
financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de
liquidação do Pix.
O
incidente de cibersegurança comprometeu a infraestrutura da C&M e permitiu
acesso indevido a contas reserva de seis instituições financeiras, entre elas a
BMP. As contas reserva são mantidas diretamente no Banco Central e utilizadas
exclusivamente para liquidação interbancária — sem qualquer relação com as
contas de clientes finais ou com os saldos mantidos dentro da BMP.
Reforçamos
que nenhum cliente da BMP foi impactado ou teve seus recursos acessados.
No caso
da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta
reserva no Banco Central. A instituição já adotou todas as medidas operacionais
e legais cabíveis e conta com colaterais suficientes para cobrir integralmente
o valor impactado, sem prejuízo à sua operação ou aos seus parceiros
comerciais.
A
C&M Software foi imediatamente desconectada do ambiente do Banco Central, e
as autoridades competentes, incluindo o próprio BC, já estão conduzindo uma
investigação detalhada sobre o ocorrido.
A BMP
segue operando normalmente, com total segurança, e reforça seu compromisso com
a integridade do sistema financeiro, a proteção dos seus clientes e a
transparência nas suas comunicações.
Para
mais informações, nossa equipe de comunicação institucional está à disposição.
São
Paulo, 2 de julho de 2025
BMP
Fonte:
Brasil 247/BBC News Brasil/g1
Nenhum comentário:
Postar um comentário