O ataque hacker que resultou no desvio de milhões de reais mantidos em contas do Banco Central (BC) por instituições financeiras não envolveu vazamento ou extração de dados de clientes ou bancos, informou a C&M Software nesta quinta-feira (3). De acordo com a empresa, o ataque simulou operações usando credenciais legítimas de um cliente, mas não teve como alvo a invasão de seus sistemas. A C&M presta serviços de tecnologia homologados pelo BC.
Na noite de terça-feira (1º), criminosos utilizaram logins legítimos de instituições financeiras para desviar recursos de contas que essas instituições mantêm no BC para atender requisitos legais. O ataque, divulgado na quarta-feira (2), desviou os valores por meio do Pix para corretoras de criptomoedas. A Empresa Brasil de Comunicação (EBC) confirmou que pelo menos R$ 400 milhões foram roubados. A companhia destacou que o incidente afetou apenas as contas reservas no BC, e não os recursos de correntistas.
A C&M anunciou que revisará suas políticas de acessos externos e de APIs. Essas ações visam estabelecer padrões mais rigorosos de homologação para os clientes que utilizam seus sistemas, reduzindo os riscos compartilhados entre a empresa e os bancos. Além disso, a companhia contratou uma auditoria externa independente para reforçar e certificar seus controles de segurança, além de intensificar as revisões internas de governança e arquitetura.
A principal hipótese para o ataque, segundo a C&M, é a não ativação de todos os protocolos de segurança disponíveis. A empresa oferece um protocolo especial de conexão, que inclui múltiplas instâncias de aprovação, controle por canal e horário, validação por múltiplos fatores e outros níveis de segurança. Contudo, essa configuração é de autonomia de cada instituição financeira. “A CMSW monitora o funcionamento técnico e os acessos, mas respeita a autonomia e governança de cada cliente sobre suas permissões internas. A responsabilidade pelo uso das credenciais é da instituição que as detém, assim como a utilização de todas as funcionalidades de segurança disponíveis no Corner [sistema de login]”, explicou a empresa.
Nesta manhã, o Banco Central restabeleceu, sob regime de produção controlada, as operações Pix da C&M Software. A liberação parcial ocorreu após a empresa comprovar a adoção de medidas para dificultar novos ataques. A operação agora pode ser realizada exclusivamente em dias úteis, das 6h30 às 18h30, com anuência expressa das instituições participantes do Pix e um monitoramento mais robusto de fraudes e limites transacionais.
A C&M não divulgou valores específicos recuperados, mas informou que parte do dinheiro foi ressarcida por meio do Mecanismo Especial de Devolução (MED), lançado pelo BC em 2021 para atender vítimas de fraudes no Pix ou de erros operacionais. Segundo a empresa, a taxa de devolução foi superior à média de mercado devido à rápida identificação da fraude.
A companhia ressaltou que está colaborando com a Polícia Federal, o Banco Central e a Polícia Civil de São Paulo. Esclareceu também que atua apenas como provedora de tecnologia homologada pelo BC e que não realiza movimentações financeiras próprias. Por fim, informou que seus outros sistemas permaneceram operacionais, já que cada infraestrutura opera de forma isolada dentro do Sistema de Pagamentos Brasileiro (SPB).
