Ataque hacker. Foto: Getty Images O sistema financeiro brasileiro foi abalado por um ataque hacker que afetou o sistema Pix. Criminosos conseguiram invadir os sistemas da C&M Software, empresa responsável por interligar instituições de menor porte, como fintechs e cooperativas, ao Sistema de Pagamentos Brasileiro (SPB), que inclui o Pix. Ainda não se sabe ao certo o valor total desviado, mas é estimado que o montante varie de 400 milhões a um bilhão de reais.
Embora o sistema do Banco Central (BC) não tenha sido comprometido, o ataque afetou diretamente contas de liquidação mantidas por essas instituições associadas ao BC, provocando transtornos operacionais e acendendo alertas sobre a segurança de terceiros que operam com dados sensíveis.
O ataque aconteceu no dia 30 de junho, mas só foi comunicado ao BC em 1º de julho. Utilizando credenciais legítimas de clientes da C&M, os invasores conseguiram acessar as chamadas contas reservas, usadas para liquidação de pagamentos entre instituições, e realizar transferências fraudulentas em larga escala.
O BC determinou o desligamento imediato da conexão da empresa com os sistemas do Pix e do SPB, interrompendo temporariamente o funcionamento do Pix para as instituições que utilizam a infraestrutura da C&M.
Segundo especialistas, este é o maior ataque cibernético já registrado no país. Os recursos dos clientes finais não foram afetados, mas algumas entidades impactadas, como o Banco Paulista e a fintech BMP, enfrentaram instabilidade nas operações e precisaram comunicar os usuários. Ambas informaram que as perdas foram absorvidas com reservas internas e que nenhum dado sensível de correntistas foi comprometido.
A C&M Software, por sua vez, implantou ajustes emergenciais de segurança e recebeu autorização do BC para retomar parte das operações em regime controlado e monitorado, com funcionamento limitado a dias úteis e horários comerciais.
Para tentar recuperar parte dos valores desviados, o BC acionou o Mecanismo Especial de Devolução (MED), previsto nas regras do Pix para reverter transações fraudulentas. No entanto, grande parcela dos recursos foi rapidamente pulverizada em contas de laranjas e convertida em criptomoedas, dificultando a rastreabilidade e tornando incerta a recuperação integral dos valores.
A Polícia Federal e a Polícia Civil de São Paulo abriram inquéritos para apurar crimes de furto mediante fraude, invasão de sistemas, lavagem de dinheiro e formação de organização criminosa.
O episódio reacende o debate sobre a segurança de empresas terceirizadas que operam sistemas críticos do setor financeiro. Embora o núcleo do sistema Pix não tenha sido afetado, a invasão à C&M expôs um elo vulnerável da cadeia.
Especialistas alertam para a necessidade urgente de reforçar mecanismos de autenticação, segmentar ambientes operacionais e exigir auditorias periódicas em prestadores de serviço que tenham acesso ao sistema de pagamentos do país. O BC já avalia mudanças regulatórias para aumentar o rigor sobre essas empresas.
Fontes: O Globo e Valor Econômico.
