Como um ataque hacker desviou quase R$ 1 bi e afetou o Pix? Veja o que o Banco Central já sabe

Por meio do ataque, os criminosos conseguiram desviar recursos de contas de oito instituições financeiras, no valor de ao menos R$ 800 milhões, segundo relatos de pessoas a par do assunto. O ataque cibernético já é considerado o maior da história dentro do BC.

A C&M atende a instituições financeiras de pequeno porte, que não têm acesso direto aos sistemas do Pix. A empresa fazia essa conexão para 22 bancos, instituições de pagamento, cooperativas e sociedades de crédito.

O BC, assim que foi informado do incidente, desligou as conexões da C&M aos sistemas do Pix. Dessa forma, as instituições clientes ficaram sem acesso ao Pix e terão de procurar, por ora, outros prestadores de serviços para se conectarem com os sistemas do BC.

“A C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”, disse o BC, em nota, sem informar o nome dos bancos envolvidos.

Segundo fontes, o problema ocorreu por provável brecha de segurança no sistema da empresa de tecnologia e por possíveis controles frouxos nas instituições que foram afetadas pelo ataque.

Nenhum sistema do BC foi atingido, e o Pix funciona normalmente. O regulador está investigando o ocorrido. De acordo com informações do g1, a Polícia Federal também instaurou inquérito para investigar o ataque.

Pedro Diógenes, diretor técnico para a América Latina da CLM, de segurança da informação, explica que, quando uma instituição emite a ordem de pagamento, a empresa de software é responsável por transformá-la em uma linguagem padronizada para que o BC e o Sistema de Pagamento Brasileiro (SPB) entendam:

— Foi um ataque muito sofisticado — afirmou.

O Banco Paulista foi uma das instituições afetadas. Ele informou que “uma falha no provedor terceirizado” causou a interrupção temporária do Pix em várias instituições. O banco disse que atua com o BC para restabelecer o serviço.

“A falha foi externa, não comprometeu dados sensíveis nem gerou movimentações indevidas”, afirmou o Banco Paulista, em nota.

Houve ainda desvio de recursos de contas das instituições financeiras. Uma das prejudicadas, a BMP afirmou que o incidente permitiu o acesso indevido a contas reserva de seis instituições financeiras. As contas reserva são mantidas diretamente no BC e usadas para liquidação de operações entre os bancos, sem qualquer relação com as contas dos clientes ou com os saldos mantidos na BMP.

“Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados”, disse, em nota. “A instituição adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais.”

Ao g1, o diretor comercial da C&M, Kamal Zogheib, afirmou que a empresa foi vítima de uma ação criminosa que envolveu o uso indevido de credenciais de clientes para tentar acessar seus sistemas e serviços de forma fraudulenta.

“A CMSW confirma que colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Polícia Civil de São Paulo, nas investigações em andamento”, afirmou, em nota.

Zogheib acrescentou que todos os sistemas críticos da companhia permanecem “íntegros e operacionais”.

Augusto Barros, diretor do Instituto de Defesa Cibernética (IDCiber), aponta que, mesmo com o ataque, o setor financeiro é um dos que mais investem em tecnologia, o que permitiu que a resposta fosse rápida e diminuísse o impacto aos usuários:

— Acredito que o grande impacto será no próprio setor, que deverá buscar mitigar os riscos com mais efetividade.

Diógenes, da CLM, acredita que, após o ataque, a regulamentação do BC pode ficar ainda mais rígida.