O Banco Central autorizou a C&M Software, empresa paulista provedora de serviços de TI, a operar parcialmente nesta quinta-feira, 3, após a companhia ter sofrido um ataque cibernético que pode ter sido o maior da história do sistema financeiro.
Em nota, o BC comunicou que a suspensão cautelar, aplicada assim que o incidente foi percebido, foi substituída por uma suspensão parcial após a C&M adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes.
Por enquanto, as operações da C&M poderão ser restabelecidas em dias úteis, das 6h30 às 18h30, “desde que haja anuência expressa da instituição participante do Pix e o robustecimento do monitoramento de fraudes e limites transacionais”.
COMO TUDO ACONTECEU
Em uma reportagem mais detalhada, o Brazil Journal, um dos sites de economia mais influentes do país, conta que o ataque aconteceu durante a madrugada de domingo para segunda, 30 de junho, quando um banco identificou um Pix de R$ 18 milhões às 4 da manhã.
O episódio era a ponta do iceberg de um incidente que, segundo estimativas preliminares do Banco Central, drenou R$ 800 milhões de oito instituições bancárias e não-bancárias. Somente na BMP, uma das afetadas, R$ 400 milhões foram roubados.
Todo esse dinheiro foi desviado da chamada “conta reserva” que as instituições mantêm junto ao Banco Central, que mistura dinheiro de clientes e da própria instituição.
O ataque começou na C&M, que conecta instituições financeiras ao BC através do Sistema de Pagamentos Brasileiro (SPB) e o Sistema de Pagamentos Instantâneos (SPI). É por meio desses sistemas que algumas instituições têm acesso a suas contas reservas no BC.
A partir desta porta de entrada, o hacker acessou as contas das instituições, fazendo múltiplos Pix em questão de minutos.
Após a notícia do ataque, o Ibovespa fechou a última quarta-feira, 2, em queda de 0,36%, puxado pelo setor bancário, que representa 16% do índice. O Santander, Bradesco e Itaú, que não têm ligação com o caso, tiveram quedas.
MUDANÇAS NECESSÁRIAS?
Segundo o site, o episódio joga luz sobre vulnerabilidades até então indetectadas na infraestrutura que interconecta o sistema financeiro, num momento em que cada vez mais players precisam se plugar no BC e em que o PIX oferece uma rota de fuga rápida para os criminosos.
“Me chama muita atenção que não havia protocolos de segurança in place capazes de barrar isso porque, veja, isso não aconteceu às 3 horas da tarde, aconteceu depois da meia-noite!”, pontuou Rocelo Lopes, CEO da SmartPay, ao BJ.
O BC ainda está trabalhando para identificar o ponto exato de vulnerabilidade que gerou a falha para fazer uma avaliação do que pode ser recuperado — e de como é possível aperfeiçoar os mecanismos de segurança do sistema.
“Para mim, é clara a fragilidade do sistema de mensageria. Se o sistema tivesse mecanismos para analisar transações atípicas, esse problema não teria ocorrido. Aliás, nessa era de AI, você não ter uma AI que possa analisar isso… é complicado”, acrescentou Lopes.
O executivo ainda afirmou que já houve outras invasões de contas reserva, mas sem repercussão na imprensa porque não interessa às instituições mostrar que foram hackeadas.
Segundo Lopes, um banco de São Paulo foi hackeado há poucos dias. O dinheiro foi enviado de sua conta reserva para uma conta PF, de lá para uma OTC (empresa que recebe ordens de compra e venda de cripto) e, de lá, para a SmartPay, onde a compra de uma stablecoin foi efetuada.
