Cibercriminosos realizaram um ataque que comprometeu sistemas utilizados para transações entre bancos, acessando os chamados “cofres reservas” de seis instituições financeiras que utilizam os serviços da C&M Software. Essa empresa de tecnologia tem autorização do Banco Central do Brasil para operar as contas reservas, que são essenciais para a liquidação de operações de Pix entre as financeiras.
Entre as instituições afetadas, algumas têm a capacidade de se conectar diretamente ao Sistema de Pagamentos Brasileiro (SPB), que é gerido pelo Banco Central. No entanto, outras dependem de intermediários, como é o caso da C&M Software. Embora a lista oficial das instituições impactadas não tenha sido divulgada pelo Banco Central, sabe-se que estão entre os bancos afetados a BMP, a Credsystem e o Banco Paulista.
A BMP, que opera no modelo de “banking as a service”, foi a principal instituição atingida. Desde 2009, a BMP é regulamentada pelo Banco Central e oferece contas digitais e outros serviços financeiros para que empresas não bancárias possam atender seus clientes. Em uma nota oficial, a BMP afirmou que o ataque permitiu o acesso não autorizado à sua conta reserva, e que outras cinco instituições também foram afetadas. No entanto, a BMP assegurou que ninguém de sua base de clientes foi impactado. A empresa esclareceu que as contas reserva são mantidas diretamente no Banco Central e são utilizadas exclusivamente para transações interbancárias, sem relacionamento direto com as contas dos clientes.
Outro banco que sofreu com o ataque foi o Banco Paulista. Em um comunicado em seu site, a instituição citou que na última segunda-feira uma falha ocorrida em um provedor terceirizado causou uma interrupção temporária no serviço de Pix, afetando várias outras instituições financeiras. O Banco Paulista informou que o problema não comprometeu dados sensíveis e que não ocorreram movimentações indevidas. Equipes técnicas estão trabalhando para restabelecer os serviços o mais rápido possível.
Esse incidente destaca a importância de medidas de segurança cibernética no setor financeiro e como ataques desse tipo podem gerar impactos em várias instituições, mesmo aquelas que não foram diretamente atacadas.
