O Banco Central (BC) tomou a decisão de suspender temporariamente três instituições do sistema Pix, após suspeitas de que elas teriam recebido recursos desviados em um ataque hacker contra a empresa C&M Software.
As instituições afetadas são a Transfeera, a Soffy e a Nuoro Pay, que foram bloqueadas do sistema de pagamentos instantâneos.
O BC está investigando se há ligação entre as três empresas e o ataque. A invasão ao sistema da C&M resultou em um desvio de recursos que ultrapassou a marca de R$ 800 milhões.
A Transfeera confirmou a suspensão temporária da funcionalidade do Pix. De acordo com a empresa, os outros serviços continuam operando normalmente. A Transfeera é uma sociedade de capital fechado, autorizada pelo BC.
“Nossa instituição, tampouco nossos clientes, foram afetados pelo incidente noticiado no início da semana e estamos colaborando com as autoridades para liberação da funcionalidade de pagamento instantâneo”, declarou em nota.
Soffy e Nuoro Pay também foram desconectadas do Pix. Elas participam do sistema em parceria com outras instituições. A suspensão, conforme o BC, visa proteger a integridade do sistema de pagamentos e garantir a segurança do arranjo até que se esclareça o envolvimento das instituições.
A suspensão tem duração máxima de 60 dias. Segundo o Artigo 95-A da Resolução 30, de 2020, conhecida como “lei do Pix”, o BC pode “suspender cautelarmente, a qualquer tempo, a participação no Pix do participante cuja conduta esteja colocando em risco o regular funcionamento do arranjo de pagamentos”.
Veja os detalhes do ataque
Ataque hacker atingiu o sistema da empresa de software C&M. A companhia, alvo da ação criminosa, é responsável pela intermediação entre instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB), que inclui o Pix, sistema de pagamentos instantâneos do BC.
O banco digital BMP foi o principal alvo do ataque hacker. A fintech, que fornece contas digitais e outros serviços financeiros para empresas ou instituições não bancárias, está no centro da fraude.
Não se descarta impacto nas contas de outros parceiros da C&M. A empresa afirma que não há indícios de vazamento de dados sensíveis dos clientes.
A polícia classifica o caso como “maior invasão de dispositivo eletrônico” do Brasil. Após a prisão de um suspeito envolvido no ataque, o Deic (Departamento Estadual de Investigações Criminais) afirmou que o ataque à BMP resultou em um prejuízo aproximado de R$ 541 milhões. O suspeito preso declarou ser funcionário da C&M e ter fornecido sua senha de acesso ao sistema por R$ 5 mil.
Ressarcimento dos valores deve recair inicialmente sobre as instituições afetadas. Advogados destacam que cabe às vítimas a responsabilidade pelo ataque hacker, por serem apenas intermediadoras a serviço do Banco Central.
A tendência é que os bancos ou instituições financeiras parceiras assumam o prejuízo diretamente, até porque há regras do próprio Banco Central que exigem ressarcimento integral ao usuário em casos de fraude comprovada explica a advogada criminalista Lorena Pontes.
A C&M Software nega responsabilidade pelo ocorrido. Em nota, a empresa afirma colaborar com as investigações e descarta que a violação do sistema tenha ocorrido por falhas nos serviços ou na tecnologia de software. “As evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso”, diz.
