Ataque cibernético gera prejuízo bilionário em empresa de serviços financeiros

Um ataque cibernético comprometeu a C&M Software, empresa responsável por oferecer soluções de pagamento instantâneo a várias instituições financeiras. O incidente, ocorrido na noite de terça-feira, 1º, impactou o sistema de seis bancos, causando um prejuízo estimado em pelo menos R$ 800 milhões, conforme apurado pelo Estadão/Broadcast, configurando-se em um dos maiores golpes já registrados no setor financeiro brasileiro.

O Banco Central confirmou o ataque, embora não tenha divulgado os valores envolvidos. Em comunicado, a C&M relatou que o crime envolveu o uso indevido de credenciais de clientes, e que todas as medidas de segurança previstas foram rigorosamente aplicadas para conter a ação criminosa.

As investigações do caso estão em andamento, conduzidas pelo Banco Central, pela Polícia Civil de São Paulo e pela Polícia Federal. Fontes de mercado indicam que o prejuízo poderá alcançar até R$ 1 bilhão.

Os invasores utilizaram o acesso à infraestrutura da C&M para atingir contas reservas de seis instituições financeiras, incluindo a BMP e a Credsystem. A C&M atua como liga entre esses bancos e o Sistema de Pagamentos Brasileiro (SPB), incluindo a conexão da infraestrutura do Pix.

O Banco Central determinou o bloqueio imediato do acesso das instituições ao sistema gerido pela C&M para conter os danos.

Importante destacar que o ataque foi restrito à infraestrutura da C&M, não havendo comprometimento direto do sistema financeiro ou das contas dos clientes.

A fintech BMP, uma das instituições afetadas, esclareceu que o ataque atingiu exclusivamente contas reservas mantidas no Banco Central, utilizadas para liquidação entre bancos, sem impacto sobre os clientes ou seus recursos. A BMP garantiu que adotou as medidas legais e operacionais necessárias, dispondo de recursos para cobrir integralmente o valor afetado, assegurando assim a continuidade e segurança da operação.

Paulo Suzart, consultor especializado em compliance e segurança cibernética, afirmou que o ocorrido demonstra a importância estratégica da segurança digital para bancos, fintechs e empresas de tecnologia, ressaltando que o tema deve ser prioridade nos conselhos administrativos e nos planos de continuidade de negócios.

Os recursos desviados foram, segundo especialistas, provavelmente convertidos em criptomoedas para dificultar o rastreamento. Paulo Trindade, gerente de segurança cibernética da ISH Tecnologia, destacou que transações com ativos digitais permitem anonimato e rapidez, características que facilitam a movimentação de grandes quantias.

A SmartPay, por meio da carteira digital Truther, detectou movimentações incomuns em bitcoin e tether nas primeiras horas da segunda-feira, 30, aumentando os filtros para validar as transações e retendo os valores suspeitos. O CEO Rocelo Lopes afirmou que essa foi a primeira sinalização do ataque, cooperando para a devolução dos valores retidos às instituições afetadas.

A C&M também declarou que a ação criminosa envolveu a utilização fraudulentamente das credenciais de clientes para tentar acessar seus sistemas, e que está colaborando plenamente com as autoridades nas investigações. A Credsystem informou que o impacto direto no seu serviço limita-se ao Pix, que segue temporariamente suspenso conforme determinação do Banco Central, e que trabalha para restabelecer os serviços o mais rapidamente possível.