O Banco Central (BC) suspendeu cautelarmente do Pix três instituições financeiras suspeitas de terem recebido recursos desviados no ataque cibernético contra a provedora de serviços tecnológicos C&M Software. As instituições suspensas são a Transfeera, a Soffy e a Nuoro Pay. A suspensão tem como objetivo proteger a integridade do sistema de pagamentos e garantir a segurança do arranjo, até que as investigações sobre o desvio de recursos do sistema financeiro sejam concluídas.
O ataque cibernático ocorreu na noite de terça-feira (1º) e resultou no desvio de recursos de contas reservas que os bancos mantêm no BC para cumprirem exigências legais. O dinheiro foi transferido por Pix e convertido em criptomoedas. A Empresa Brasil de Comunicação (EBC) confirmou que pelo menos R$ 400 milhões foram desviados.
A suspensão é prevista pelo Artigo 95-A da Resolução 30 do Banco Central, de outubro de 2020, que regulamentou o Pix. Pela resolução, o BC pode “suspender cautelarmente, a qualquer tempo, a participação no Pix do participante cuja conduta esteja colocando em risco o regular funcionamento do arranjo de pagamentos”. A suspensão pode durar no máximo 60 dias.
A Transfeera, uma sociedade de capital fechado autorizada pelo Banco Central, confirmou que a funcionalidade do Pix foi suspensa. No entanto, a companhia ressaltou que os demais serviços oferecidos continuam a funcionar normalmente. A empresa afirmou que não foi afetada pelo incidente e está colaborando com as autoridades para liberação da funcionalidade de pagamento instantâneo.
As outras duas instituições suspensas do Pix são as fintechs (empresas financeiras digitais) Soffy e Nuoro Pay. As companhias não são autorizadas pelo BC a fazer parte do Pix, mas participam do sistema instantâneo de transferências em parcerias com outras instituições financeiras. Nenhuma das duas empresas se manifestou até o fechamento da reportagem.
A Polícia Federal, a Polícia Civil de São Paulo e o Banco Central investigam o caso. Na sexta-feira (3), a Polícia Civil de São Paulo prendeu um funcionário da C&M que recebeu R$ 15 mil para dar aos criminosos acesso aos sistemas da empresa. O suspeito confessou ter fornecido a senha de acesso R$ 5 mil e ter recebido mais R$ 10 mil para criar um sistema de acesso aos hackers.
A C&M Software informou que nenhum dado de cliente foi vazado. A empresa conecta várias instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), operado pelo Banco Central. O BC autorizou a empresa alvo do ataque a retomar as operações Pix na quinta-feira (3).
A suspensão das instituições do Pix é uma medida para proteger a integridade do sistema de pagamentos e garantir a segurança do arranjo. O Banco Central está investigando se as três empresas têm relação com o ataque e se elas receberam recursos desviados. A investigação está em andamento e o BC não divulgou informações adicionais sobre o caso.
O ataque cibernático contra a C&M Software é um exemplo de como a cibersegurança é fundamental para proteger os sistemas financeiros. O Banco Central e as instituições financeiras devem trabalhar juntos para garantir a segurança dos sistemas de pagamentos e proteger os clientes de ataques cibernáticos. A suspensão das instituições do Pix é uma medida importante para proteger a integridade do sistema de pagamentos e garantir a segurança do arranjo.