Dois dias após aquele que é considerado o maior ataque ao sistema financeiro brasileiro, o Banco Central ainda não deu explicações sobre o ocorrido. O órgão mantém-se em silêncio, apesar dos reiterados pedidos de informação feitos pela Gazeta do Povo e por vários outros veículos.

O ataque ocorreu na tarde de terça-feira (1º), quando um hacker ou um grupo de hackers — não há informações específicas sobre a origem do ataque — invadiu o sistema da C&M Software, vinculada ao Sistema de Pagamentos Brasileiro (SPB). A empresa presta serviços de tecnologia para instituições financeiras.

Com os dados da C&M, foi possível acessar as contas de reserva — contas de segurança mantidas no Banco Central — de clientes da empresa. Até o momento, três instituições confirmaram à imprensa que tiveram recursos desviados de suas contas: a BMP, o Banco Paulista e a CredSystem.

Ainda na terça-feira, o Banco Central emitiu uma nota confirmando o ataque hacker:

“A C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”, disse a autarquia, que permanece em silêncio desde então.

Quanto foi desviado no ataque hacker

Até o momento, não se sabe quanto foi realmente desviado no ataque hacker. Estimativas iniciais do Valor indicavam desvio de R$ 400 milhões. No entanto, de acordo com o Brazil Journal, o montante é de cerca de R$ 1 bilhão. Apurações posteriores indicam que aproximadamente R$ 500 milhões podem ter sido desviados de uma única empresa.

O que se sabe até o momento é que houve tentativa de converter os recursos em criptomoedas e bitcoins. Algumas casas de conversão, ao perceberem os valores muito altos, suspeitaram e suspenderam as operações.

No entanto, há indicativos de que apenas uma pequena parte do valor desviado tenha sido recuperada.

Ao Valor, o diretor da Polícia Federal, Andrei Rodrigues, disse que um inquérito seria aberto prontamente. “Estamos em contato com as empresas. Vamos investigar. Há notícia-crime em verificação. O inquérito deve ser instaurado ainda hoje”, afirmou na quarta-feira (2).

O que disse a C&M

Nesta quinta-feira (3), segundo informações da IstoÉ Dinheiro, a C&M informou que seus serviços foram restabelecidos com autorização do Banco Central. A empresa afirmou que a Autoridade Monetária permitiu o restabelecimento das operações de Pix, sob regime de produção controlada.

O Banco Central confirmou as informações, afirmando que a suspensão cautelar foi substituída por uma suspensão parcial. A desconexão da C&M após o ataque hacker havia deixado seus clientes sem os serviços de Pix.

“A decisão foi tomada após a empresa adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes. As operações da C&M poderão ser restabelecidas em dias úteis, das 6h30 às 18h30, desde que haja anuência expressa da instituição participante do Pix e o robustecimento do monitoramento de fraudes e limites transacionais”, afirmou o Banco Central.

Fundada em 1999 por Orli Machado, a C&M é empresa especializada em sistemas que conectam bancos e fintechs ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix. Dentre seus clientes, estão grandes empresas como XP, Banco Carrefour, Minerva Foods, entre outras.

Ainda na terça-feira (1º), a empresa afirmou em nota que tinha sido vítima direta de uma ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços.

“Por orientação jurídica e em respeito ao sigilo das apurações, a CMSW não comentará detalhes do processo, mas reforça que todos os seus sistemas críticos seguem íntegros e operacionais, e que as medidas previstas nos protocolos de segurança foram integralmente executadas”, afirmou.

BMP afirma que tem recursos para cobrir desvios do ataque hacker

A BMP, uma das principais empresas afetadas, também se manifestou. Em nota à imprensa, a empresa afirmou que nenhum cliente foi impactado ou teve seus recursos acessados.

“No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no BC. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação”, afirmou a empresa em nota.

A credsystem, por sua vez, disse que “o impacto direto nas operações se restringe apenas ao serviço de Pix, que está temporariamente fora do ar”.

O Banco Paulista se expressou de forma semelhante. “A falha foi externa, não comprometeu dados sensíveis nem gerou movimentações indevidas.”