O Banco Central (BC) decidiu suspender temporariamente a operação de três instituições financeiras no sistema Pix, em resposta a um ataque cibernético que desviou recursos da provedora de serviços tecnológicos C&M Software. As instituições afetadas pela medida são a Voluti Gestão Financeira, a Brasil Cash e a S3 Bank. Anteriormente, a Transfeera, a Soffy e a Nuoro Pay já haviam sido desconectadas do sistema.
O BC está investigando se essas seis empresas estão envolvidas no ataque que desviou recursos de contas de reserva mantidas pelos bancos no Banco Central. A TV Brasil relatou que pelo menos R$ 530 milhões foram desviados.
Medida Preventiva
A suspensão, que tem duração de 60 dias, está prevista no Artigo 95-A da Resolução 30 do Banco Central, de outubro de 2020, que regulamenta o Pix. Essa resolução permite ao BC "suspender cautelarmente, a qualquer tempo, a participação no Pix do participante cuja conduta esteja colocando em risco o regular funcionamento do arranjo de pagamentos".
Reações das Instituições
A Transfeera, uma sociedade de capital fechado autorizada pelo Banco Central, confirmou a suspensão da funcionalidade do Pix, mas afirmou que os demais serviços continuam operando normalmente. A empresa destacou que nem ela nem seus clientes foram afetados pelo incidente e que está colaborando com as autoridades para restabelecer a funcionalidade do pagamento instantâneo.
Por outro lado, a Soffy e a Nuoro Pay, fintechs que participam do sistema de transferências instantâneas em parceria com outras instituições financeiras, não se manifestaram até o momento. A Voluti Gestão Financeira, Brasil Cash e S3 Bank também não comentaram a suspensão.
Objetivo da Suspensão
O Banco Central justificou a suspensão como uma medida para proteger a integridade do sistema de pagamentos e garantir a segurança do arranjo, até que as investigações sobre o desvio de recursos sejam concluídas.
Contexto do Ataque
O ataque cibernético ocorreu na noite de terça-feira (1º), afetando os sistemas da C&M Software, que conecta diversas instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), operado pelo Banco Central. Os recursos desviados foram transferidos via Pix e convertidos em criptomoedas.
Na quinta-feira (3), o BC autorizou a retomada das operações de Pix pela empresa alvo do ataque. A Polícia Federal, a Polícia Civil de São Paulo e o Banco Central estão investigando o caso. A C&M informou que nenhum dado de cliente foi vazado.
Na sexta-feira (4), a Polícia Civil de São Paulo prendeu um funcionário da C&M que confessou ter recebido R$ 15 mil para facilitar o acesso dos criminosos aos sistemas da empresa, fornecendo senhas e criando um sistema de acesso para os hackers.
Com informações da Agência Brasil