A C&M Software, empresa que presta serviços de conexão entre instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB), confirmou que foi alvo de um ataque hacker que afetou a operação do Pix em diversos bancos e fintechs. Segundo informações do site Brazil Journal, o prejuízo pode chegar a R$ 1 bilhão. Relatos iniciais apontam que ao menos R$ 400 milhões teriam sido desviados pelos criminosos.
Fundada em 1992, a C&M é responsável por soluções de mensageria para instituições que não possuem infraestrutura própria de conexão com o SPB, incluindo o ambiente de liquidação do Pix, sistema de transferências instantâneas criado pelo Banco Central (BC).
Em nota, a empresa informou que foi “vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços”. A companhia afirmou que, por orientação jurídica e em respeito ao sigilo das apurações, não comentará detalhes do processo, mas garantiu que “todos os seus sistemas críticos seguem íntegros e operacionais” e que “as medidas previstas nos protocolos de segurança foram integralmente executadas”.
A C&M comunicou que está colaborando com o Banco Central, a Polícia Civil de São Paulo e outras autoridades competentes. O site Metrópoles apurou que a Polícia Federal também deve entrar na investigação.
De acordo com o BC, “a C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica”. Em seguida, a autoridade monetária determinou “o desligamento do acesso das instituições às infraestruturas por ela operadas”.
Segundo o jornal O Globo, ao menos seis instituições financeiras foram impactadas, com perdas médias estimadas em mais de R$ 50 milhões por banco ou fintech. O Banco Paulista relatou que “uma falha no provedor terceirizado” causou a interrupção temporária do Pix. “A falha foi externa, não comprometeu dados sensíveis nem gerou movimentações indevidas”, informou o banco. Equipes técnicas trabalham com o BC para restabelecer o serviço.
A BMP, provedora de serviços de banking as a service desde 1999, também confirmou impacto. Em 2023, a empresa registrou receita bruta de R$ 804 milhões e lucro líquido de R$ 231 milhões. “No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou a seus parceiros comerciais”, afirmou a companhia.
A BMP reforçou que segue operando “com total segurança” e mantém “o compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações”.
