PEDRO S. TEIXEIRA, NATHALIA GARCIA E RAQUEL LOPES
SÃO PAULO, SP E BRASÍLIA, DF (FOLHAPRESS) – Um ataque hacker desviou cerca de R$ 1 bilhão de recursos mantidos no Banco Central, no maior evento do tipo já registrado no Brasil, segundo a principal empresa brasileira de segurança cibernética, o Grupo FS. Os valores estavam em contas de clientes da empresa C&M Software, que presta serviços de tecnologia para instituições do setor financeiro.
Segundo pessoas que acompanham o caso, ouvidas pela Folha, do rombo de cerca de R$ 1 bilhão envolvendo oito instituições, R$ 500 milhões pertenciam a uma única cliente da C&M. A notícia do desvio foi antecipada pelo Brazil Journal.
A empresa de tecnologia que sofreu o ataque hacker administra a troca de informações entre instituições brasileiras ligadas ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente do Pix. Entre os seus clientes estão grandes companhias brasileiras como os bancos Bradesco e XP, que afirmam não terem sido afetados pelo incidente.
Em nota, o BC disse que a prestadora de serviços de tecnologia comunicou o ataque à sua infraestrutura tecnológica e que a autoridade monetária determinou o “desligamento do acesso das instituições às infraestruturas por ela operadas”.
O ataque não atingiu a infraestrutura do Pix, que segue operando normalmente. A equipe técnica do BC está apurando quanto foi possível recuperar da cifra desviada, mas o montante é pouco significativo, segundo análise preliminar. Até o momento, não há informações oficiais sobre a dimensão do desvio e sobre quais clientes da empresa de tecnologia foram afetados.
A invasão ocorreu na madrugada de segunda (30), mas a autoridade monetária só foi informada do problema na terça (1º). A Polícia Federal foi acionada e abriu inquérito nesta quarta (2) para investigar o ataque hacker. Procurado, o órgão não quis se manifestar.
A fintech SmartPay, que oferece integração entre o Pix e plataformas criptoativos, afirma que seu serviço foi utilizado para converter as quantias desviadas em criptomoedas. “Detectamos um problema à 0h18 do dia 30 de junho devido ao movimento atípico nas compras de USDT e Bitcoin”, afirmou o CEO da SmartPay, Rocelo Lopes.
De acordo com Lopes, a SmartPay, então, passou a bloquear as operações e iniciou uma operação para estornar o que foi possível dos valores desviados. “Foram retidas grandes somas de dinheiro e, na mesma hora, foi feito o processo de devolução para as instituições envolvidas.”
Furtos cibernéticos dessa monta nunca haviam sido registrados oficialmente no Brasil, segundo Alberto Leite, CEO do Grupo FS. “No cenário internacional, já observamos casos mais expressivos, como o ataque à exchange de criptomoedas Bybit, que resultou na perda de US$ 1,5 bilhão.”
O diretor comercial da C&M Software, Kamal Zogheib, disse que os criminosos usaram credenciais de clientes (como usuário e senha) para tentar acessar os sistemas de forma fraudulenta. “A empresa colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Polícia Civil de São Paulo, nas investigações em andamento”.
Segundo o executivo, todos os sistemas críticos da C&M Software seguem íntegros e operacionais.
Um dos clientes da C&M Software, a prestadora de serviços bancários BMP, afirmou que os criminosos tiveram acesso a contas reservas de seis instituições financeiras, incluindo a da própria companhia.
Essas contas são mantidas no Banco Central para fins de acolhimento dos depósitos dessas instituições. Elas são obrigatórias para os bancos comerciais, por exemplo, que guardam recursos ali para melhor controle do risco das suas atividades operacionais.
“As contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária [transferências de fundos entre as instituições financeiras]”, afirmou, em nota, a BMP.
Um interlocutor ouvido pela reportagem sob condição de anonimato disse que foram acessadas as Contas PI (Pagamentos Instantâneos), mantidas no BC pelos participantes do sistema para dar liquidez às transações via Pix.
Segundo a empresa, nenhum cliente da BMP foi afetado ou teve recursos acessados. “A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou a seus parceiros comerciais”, acrescentou.
A credsystem, outra cliente da C&M Software, disse que o incidente impactou apenas o seu serviço de Pix, que está temporariamente fora do ar por determinação do BC. “Nossos clientes podem continuar utilizando normalmente e sem custo o serviço de TED.”
De acordo com o advogado Victor Solla Jorge, do escritório Jorge Sociedade de Advogados, caso se comprove que a C&M Software foi responsável pela falha de segurança, a empresa de tecnologia terá que ressarcir seus clientes que foram lesados.
Como a C&M atuava como “provedor de serviços de tecnologia de informação”, na definição do Banco Central, a empresa, diferentemente de um banco, não era obrigada a ter um depósito de garantia. A empresa pode ter uma apólice de seguro corporativo, mas dependeria dela mesmo”, diz Jorge.
Também será apurado se houve negligência das instituições financeiras com relação às regras que orientam a atuação dos participantes do Pix.
“Por orientação jurídica e em respeito ao sigilo das apurações, a C&M Software não comentará detalhes do processo”, disse a empresa em nota. “As medidas previstas nos protocolos de segurança foram integralmente executadas”, acrescentou.
Como algumas instituições ficaram sem acesso à infraestrutura do Pix após o desligamento da C&M Software, os recursos recuperados serão devolvidos por outros meios, como TED (Transferência Eletrônica Disponível). Apesar de um montante já ter sido bloqueado em alguns bancos, nada foi efetivamente devolvido até agora.
