Um ataque hacker direcionado a uma empresa responsável por interligar instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) gerou apreensão no sistema financeiro nesta terça-feira (1º). A invasão comprometeu operações ligadas ao ambiente de liquidação do Pix e outros serviços transacionais, movimentando valores que podem chegar a R$ 1 bilhão em prejuízos.
A empresa afetada, C&M Software, fundada em 1992, confirmou ter sido vítima do ataque. Ela atua no desenvolvimento de soluções que garantem a comunicação entre bancos, fintechs e o Banco Central (BC), incluindo a mensageria do Pix.
Como aconteceu
Segundo informações do portal Brazil Journal, os hackers teriam obtido acesso a contas transacionais por meio da C&M e realizado desvios milionários. Estimativas iniciais falam em prejuízo mínimo de R$ 400 milhões, mas o montante poderia ultrapassar R$ 1 bilhão.
Uma das instituições mais atingidas seria a BMP, provedora de serviços de banking as a service, que atua no mercado desde 1999. A companhia registrou receita bruta de R$ 804 milhões em 2023 e um lucro líquido de R$ 231 milhões.
De acordo com relatos, cada banco ou fintech envolvido no ecossistema da C&M teria perdido, em média, mais de R$ 50 milhões.
O que dizem as empresas
Em nota oficial, a C&M informou ter sido “vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços”. A companhia declarou ainda que seus sistemas críticos seguem íntegros e operacionais, e que protocolos de segurança foram aplicados integralmente.
A BMP, também em comunicado, esclareceu que nenhum cliente foi impactado diretamente. O ataque, segundo a empresa, envolveu apenas recursos depositados em conta reserva no Banco Central. A instituição afirmou possuir garantias para cobrir os valores impactados sem comprometer operações ou parceiros comerciais.
Medidas de investigação
O Banco Central confirmou ter sido notificado do ataque e determinou o desligamento do acesso de instituições às infraestruturas operadas pela C&M como medida de precaução. A empresa segue colaborando com as investigações junto ao BC, à Polícia Civil de São Paulo e, possivelmente, à Polícia Federal, segundo informações preliminares.
As autoridades buscam identificar o grupo responsável e rastrear valores que possam ser recuperados, já que parte do dinheiro foi desviada de contas de liquidação em ambiente regulamentado.
Reação do mercado
O caso gerou apreensão no setor financeiro, em especial entre fintechs e bancos menores que dependem de infraestrutura terceirizada para integrar o SPB. O receio maior é que a confiança no ecossistema de pagamentos instantâneos seja abalada, mesmo que os sistemas críticos, como garantiu a C&M, sigam em funcionamento.
Não há previsão de quando o acesso das instituições ao sistema da C&M será restabelecido em sua totalidade.
