SÃO PAULO E BRASÍLIA - A empresa C&M Software, que presta serviços de tecnologia para instituições do setor financeiro, foi alvo de um ataque hacker que desviou ao menos R$ 500 milhões. Os recursos estavam depositados em contas reserva mantidas no Banco Central.
Especialistas em cibersegurança dizem que a ação contra a C&M Software deixou um rombo de mais de R$ 1 bilhão. Segundo relatos ouvidos pela reportagem, foram mais de R$ 500 milhões em uma única instituição. A notícia do desvio foi antecipada pelo Brazil Journal.
A empresa de tecnologia administra a troca de informações entre instituições brasileiras ligadas ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente do Pix. Entre os seus clientes estão grandes companhias brasileiras como os bancos Bradesco e XP, além de Minerva Foods e Credsystem.
A equipe técnica do BC está apurando quanto foi possível recuperar da cifra desviada. Até o momento, não há informações oficiais sobre a dimensão do desvio e sobre quais clientes da empresa foram afetados.
Em nota, o BC disse que a prestadora de serviços de tecnologia comunicou o ataque à sua infraestrutura tecnológica e que a autoridade monetária determinou o "desligamento do acesso das instituições às infraestruturas por ela operadas".
A fintech SmartPay, que oferece integração entre o Pix e plataformas criptoativos, afirma que seu serviço foi utilizado para converter as quantias desviadas em criptomoedas. "Detectamos um problema às 00h18 do dia 30 de junho devido ao movimento atípico nas compras de USDT e Bitcoin", afirmou o CEO da SmartPay, Rocelo Lopes.
De acordo com Lopes, a SmartPay, então, passou a bloquear as operações e iniciou uma operação para estornar o que foi possível dos valores desviados. "Foram retidas grandes somas de dinheiro e, na mesma hora, foi feito o processo de devolução para as instituições envolvidas."
O diretor comercial da C&M Software, Kamal Zogheib, disse que os criminosos usaram credenciais de clientes (como usuário e senha) para tentar acessar os sistemas de forma fraudulenta. "A empresa colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Polícia Civil de São Paulo, nas investigações em andamento".
Segundo o executivo, todos os sistemas críticos da C&M Software seguem íntegros e operacionais.
A Polícia Federal foi acionada e deve investigar o caso, mas não há inquérito instaurado até o momento. Procurada, a corporação disse que não vai se manifestar.
Um dos clientes da C&M Software, a prestadora de serviços bancários BMP, afirmou que os criminosos tiveram acesso a contas reservas de seis instituições financeiras, incluindo a da própria companhia.
Essas contas são mantidas no Banco Central para fins de acolhimento dos depósitos dessas instituições. Elas são obrigatórias para os bancos comerciais, por exemplo, que guardam recursos nessas contas para melhor controle do risco das suas atividades operacionais.
"As contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária [transferências de fundos entre as instituições financeiras]", afirmou, em nota, a BMP.
Segundo a empresa, nenhum cliente da BMP foi afetado ou teve recursos acessados. "A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou a seus parceiros comerciais", acrescentou.
De acordo com o advogado Victor Solla Jorge, do escritório Jorge Sociedade de Advogados, caso se comprove que a C&M Software foi responsável pela falha de segurança, a empresa de tecnologia terá que ressarcir seus clientes que foram lesados.
Como a C&M atuava como "provedor de serviços de tecnologia de informação", na definição do Banco Central, a empresa, diferentemente de um banco, não era obrigada a ter um depósito de garantia. "A empresa pode ter uma apólice de seguro corporativo, mas dependeria dela mesmo", diz Jorge.
"Por orientação jurídica e em respeito ao sigilo das apurações, a C&M Software não comentará detalhes do processo", disse a empresa em nota. "As medidas previstas nos protocolos de segurança foram integralmente executadas", acrescentou.
Desde a manhã desta terça-feira (2), o site da C&M Software está fora do ar.
