O Banco Central do Brasil ampliou as medidas de segurança em resposta a um ciberataque, suspendendo de forma preventiva mais três instituições financeiras do sistema Pix. Essa ação eleva para seis o número total de empresas temporariamente desconectadas do arranjo de pagamentos instantâneos, em meio a uma investigação sobre o desvio de aproximadamente R$ 530 milhões. A investigação apura o possível envolvimento dessas instituições na recepção de fundos ilícitos provenientes de uma violação de segurança em um provedor de tecnologia.
Ampliação das Suspensões e Instituições Investigadas
Inicialmente, o Banco Central já havia interrompido a participação da Transfeera, Soffy e Nuoro Pay no Pix. Posteriormente, a autoridade monetária estendeu a suspensão para incluir a Voluti Gestão Financeira, a Brasil Cash e a S3 Bank. O objetivo principal dessa medida é investigar se essas seis empresas serviram como destino para os recursos desviados durante o ataque cibernético direcionado à C&M Software, uma empresa que fornece infraestrutura tecnológica para o setor financeiro.
A suspensão tem caráter cautelar e está programada para durar 60 dias, um prazo que permite às autoridades conduzirem as apurações necessárias sem expor o sistema a novos riscos. Portanto, a ação do BC visa proteger a integridade e a confiança no Pix, que se tornou um pilar fundamental das transações financeiras no país. A confirmação do montante desviado, na casa dos R$ 530 milhões, foi reportada pela TV Brasil, evidenciando a magnitude do incidente de segurança.
Fundamentação Legal e Detalhes do Ataque Cibernético
A decisão do Banco Central está amparada no Artigo 95-A da Resolução nº 30, de outubro de 2020, que regulamenta o funcionamento do Pix. De acordo com essa norma, o BC pode, a qualquer momento, suspender preventivamente um participante cuja conduta represente uma ameaça ao funcionamento regular do sistema. Nesse contexto, a medida é uma resposta direta à necessidade de garantir a segurança do arranjo de pagamentos até que o caso seja completamente esclarecido.
O ataque ocorreu na noite de 1º de julho, quando criminosos exploraram uma vulnerabilidade nos sistemas da C&M Software. Essa empresa, embora não realize transações financeiras diretamente, desempenha um papel crucial ao conectar diversas instituições ao Sistema de Pagamentos Brasileiro (SPB). A investigação revelou que os hackers desviaram dinheiro de contas de reserva que os bancos mantêm no próprio Banco Central. Em seguida, os fundos foram rapidamente transferidos via Pix e, por fim, convertidos em criptomoedas para dificultar o rastreamento.
A investigação, conduzida em conjunto pela Polícia Federal, pela Polícia Civil de São Paulo e pelo Banco Central, já alcançou um avanço significativo. Na sexta-feira, dia 4 de julho, a polícia paulista prendeu um funcionário da C&M Software. O suspeito confessou ter recebido R$ 15 mil para fornecer credenciais de acesso aos sistemas da empresa, permitindo assim a execução do ataque.
Posicionamento das Empresas Envolvidas
Diante da suspensão, as instituições financeiras começaram a se manifestar. A Brasil Cash, por exemplo, emitiu uma nota afirmando que a interrupção de seus serviços Pix é uma medida de precaução ligada ao incidente na C&M Software. Além disso, a empresa garantiu que seus próprios sistemas não foram violados e que, portanto, os dados dos clientes permanecem seguros. A financeira também destacou que está colaborando com total transparência com o Banco Central e implementando reforços de segurança adicionais.
Da mesma forma, a Transfeera confirmou que sua funcionalidade Pix foi suspensa, mas ressaltou que os demais serviços continuam operando normalmente. Em comunicado, a companhia declarou que nem a instituição nem seus clientes foram afetados diretamente pelo incidente e que está cooperando com as autoridades para restabelecer a operação do Pix o mais rápido possível.
Por outro lado, a Soffy e a Nuoro Pay, que são fintechs que operam no Pix por meio de parcerias com outras instituições autorizadas, não haviam se pronunciado até o momento da publicação. A Voluti Gestão Financeira e o S3 Bank também foram contatados, mas optaram por não comentar a suspensão. Enquanto isso, a C&M Software informou que nenhum dado de seus clientes foi vazado e que já recebeu autorização do BC para retomar suas operações com o Pix.