Na madrugada, um PIX de R$ 18 milhões. Começava o assalto
Na madrugada de domingo para segunda-feira, um executivo da BMP recebeu uma ligação informando que R$ 18 milhões foram transferidos via PIX da conta da BMP para outro banco às 4 da manhã. Ao ir ao escritório, verificou que, apesar da segurança da BMP, diversos PIX não autorizados totalizando R$ 400 milhões foram realizados. Esse caso faz parte de um ataque maior que drenou cerca de R$ 800 milhões de oito instituições, bancos e fintechs, diretamente da chamada “conta reserva” mantida junto ao Banco Central, que reunia recursos próprios e de clientes.
O ataque teve origem na C&M Software, uma Provedora de Serviços de Tecnologia da Informação (PSTI) autorizada pelo Banco Central para conectar instituições financeiras ao sistema do BC, oferecendo APIs para serviços como PIX e TED. Os hackers, ao comprometerem a C&M, acessaram indevidamente as credenciais das instituições clientes e realizaram múltiplos PIX em poucos minutos.
Fontes do Banco Central indicam que o sistema do BC não foi violado diretamente; as ordens repassadas foram legítimas em sua forma, pois originadas de prestadores autorizados, porém esses prestadores foram enganados e tiveram suas credenciais interceptadas.
Após detectar o ataque, a C&M desativou a função PIX para as instituições afetadas. A BMP já recuperou parte do montante roubado (R$ 130 milhões) e afirma que as contas dos clientes não foram afetadas e nenhum dado pessoal vazou. O ocorrido expõe fragilidades até então desconhecidas na infraestrutura tecnológica que suporta o sistema financeiro brasileiro, sobretudo na mensageria entre instituições e Banco Central.
Especialistas destacam a ausência de ferramentas adequadas para análise de transações anômalas em tempo real, ressaltando a importância potencial da inteligência artificial para monitoramento dinâmico e prevenção de fraudes no sistema PIX.
O Banco Central está investigando o incidente para melhorar mecanismos de segurança, controlar vulnerabilidades e garantir maior robustez ao ambiente financeiro digital. O caso reforça a necessidade urgente de aprimoramentos tecnológicos e protocolos de segurança para proteger recursos financeiros digitais e a integridade do sistema bancário brasileiro.