O Banco Central (BC) confirmou nesta quarta-feira (2) que a provedora de serviços de tecnologia C&M Software, que atende instituições financeiras sem infraestrutura de conectividade, sofreu um ataque hacker. O BC não forneceu mais detalhes sobre o ataque, mas informou em comunicado que ordenou à C&M que bloqueasse o acesso das instituições financeiras à infraestrutura que opera.
Uma autoridade familiarizada com a investigação em andamento, que falou sob condição de anonimato, disse que a C&M presta serviços a cerca de duas dúzias de pequenas instituições financeiras e que os valores envolvidos no ataque não chegam a bilhões de reais. Na noite de segunda, o Brazil Journal publicou que o valor chegaria a R$ 1 bilhão.
Outra fonte afirmou à Reuters que não houve perdas para os clientes.
O jornal Valor Econômico informou que os hackers usaram contas reservas de cinco instituições financeiras junto ao Banco Central, e teriam desviado R$ 400 milhões.
Ainda de acordo com o Valor, a C&M é responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix.
O diretor comercial da C&M Software, Kamal Zogheib, afirmou que a empresa foi vítima direta do ataque cibernético, que envolveu o uso fraudulento de credenciais de clientes na tentativa de acessar seus sistemas e serviços. A C&M informou que os sistemas críticos permanecem intactos e totalmente operacionais, acrescentando que todas as medidas de protocolo de segurança foram implementadas. “A empresa está cooperando com o Banco Central e a Polícia Civil de São Paulo na investigação em andamento”, diz Zogheib.
A instituição financeira brasileira BMP informou à Reuters que ela e outras cinco instituições sofreram acesso não autorizado às suas contas reserva durante o ataque, ocorrido na segunda-feira (1). Segundo a BMP, as contas afetadas são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária, sem impacto nas contas dos clientes ou nos saldos internos.
A instituição acrescentou que tomou todas as medidas operacionais e legais necessárias e têm garantias suficientes “para cobrir integralmente o valor impactado, sem qualquer prejuízo às suas operações ou parceiros comerciais”.
O Banco Central utiliza o termo “instituições financeiras sem infraestrutura de conectividade própria” para se referir às instituições de pagamento digital, que cresceram rapidamente na maior economia da América Latina, impulsionadas por inovações que impulsionam a concorrência no setor.