Ataque hacker desvia até R$ 1 bi de contas no BC e afeta operação de bancos via Pix

Um ataque hacker sem precedentes no Brasil desviou valores que podem chegar a R$ 1 bilhão de contas mantidas por instituições financeiras no Banco Central.

O alvo foi a empresa C&M Software, que presta serviços de tecnologia para pequenos e médios bancos, conectando-os ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente do Pix.

Os criminosos teriam acessado credenciais de clientes da C&M, como usuário e senha, para invadir sistemas e realizar transações fraudulentas. O desvio atingiu ao menos oito instituições financeiras, com valores estimados entre R$ 400 milhões e R$ 1 bilhão. Só uma dessas instituições teria sofrido um prejuízo de R$ 500 milhões.

Leia também: Polícia Civil do RJ prende fornecedores de armas das duas maiores facções do Brasil

O ataque aconteceu na madrugada da última segunda-feira (30), mas o Banco Central só foi informado na terça (1º). Em nota, a autarquia afirmou que determinou o desligamento do acesso das instituições à infraestrutura operada pela C&M, o que comprometeu a operação via Pix dos bancos atendidos. Apesar do incidente, o BC garantiu que o sistema do Pix continua funcionando normalmente e que seus próprios sistemas não foram comprometidos.

A Polícia Federal abriu inquérito para apurar os crimes de organização criminosa, furto mediante fraude, invasão de dispositivos de informática e lavagem de dinheiro. A C&M afirmou que todos os seus sistemas críticos seguem íntegros e operacionais, e que está colaborando com as investigações ao lado do Banco Central e da Polícia Civil de São Paulo.

Entre as instituições afetadas estão a BMP e o Banco Paulista. A BMP informou que os hackers acessaram contas reserva mantidas no Banco Central para liquidação interbancária, sem afetar contas ou saldos de clientes. O banco disse ainda que tem reservas suficientes para cobrir integralmente os valores desviados. Já o Banco Paulista relatou interrupção temporária em seu serviço de Pix, mas garantiu que não houve vazamento de dados sensíveis nem movimentações indevidas.

A fintech SmartPay, que atua na integração entre plataformas de criptoativos e o Pix, informou ter identificado movimentações atípicas com USDT e Bitcoin no momento do ataque. A empresa afirma ter bloqueado operações e iniciado a devolução de valores às instituições envolvidas.

Alberto Leite, CEO do Grupo FS, especializado em segurança cibernética, afirmou que esse é o maior furto digital já registrado oficialmente no país. Segundo ele, mais de 40 instituições teriam sido usadas no caminho das transferências ilícitas, mas apenas uma parte mínima dos valores foi recuperada até agora.

Leia mais: Agenda de Lula na Argentina prevê encontro com Cristina Kirchner, mas não com Javier Milei