Na madrugada, um PIX de R$ 18 milhões. Começava o assalto
Na madrugada de domingo para segunda-feira, um executivo da BMP recebeu uma ligação do banco informando que R$ 18 milhões foram transferidos da conta da empresa de banking as a service para aquele banco via PIX às 4 da manhã. Ao verificar o escritório, constatou-se que, apesar dos sistemas da BMP estarem intactos, vários PIX não autorizados foram realizados, totalizando R$ 400 milhões retirados da conta da BMP. Esse episódio é parte de um ataque maior estimado pelo Banco Central que drenou R$ 800 milhões de oito instituições bancárias e não-bancárias. Os recursos roubados foram sacados da “conta reserva” mantida junto ao Banco Central, que mistura recursos de clientes e das próprias instituições.
O ataque teve início na C&M Software, uma empresa prestadora de serviços de tecnologia da informação que oferece sistemas de mensageria entre instituições e o Banco Central. A C&M é uma das Provedoras de Serviços de Tecnologia da Informação (PSTI) autorizadas pelo Banco Central, responsáveis por conectar 293 instituições ao BC e disponibilizar APIs que permitem operações como PIX e TED. O invasor acessou as contas das instituições por meio de senhas e credenciais fornecidas indevidamente pela C&M após ser enganada pelos hackers, e executou múltiplas transferências em poucos minutos.
Segundo fonte do Banco Central, os sistemas do BC não foram atacados diretamente. As ordens foram legítimas, emanando de participantes do sistema via seus prestadores de serviço. O incidente se assemelha a uma transação real com chip e senha de cartão autenticados, mas o prestador intermediário foi comprometido permitindo o acesso indevido.
Após identificar os ataques, a C&M desativou a função PIX para as instituições afetadas. A BMP, uma das instituições prejudicadas, iniciou reuniões com o Banco Central para mapear o incidente e sua extensão. Até o momento, foram recuperados R$ 130 milhões dos R$ 400 milhões roubados da BMP. Nenhuma conta de cliente foi afetada e nenhuma informação vazada, assegura o fundador da BMP.
Especialistas em segurança financeira observam que o sistema de mensageria carece de mecanismos adequados para detecção de transações atípicas e ponderam a importância do uso de IA para análise em tempo real. O incidente destaca fragilidades até então desconhecidas na infraestrutura do sistema financeiro brasileiro em uma era em que o PIX é uma rota rápida para os criminosos efetuarem saques fraudulentos.
O Banco Central está conduzindo investigações para identificar pontos vulneráveis e avaliar a viabilidade de recuperar os valores roubados, além de trabalhar no aprimoramento da segurança do sistema financeiro nacional para evitar incidentes semelhantes no futuro.
Esta situação reforça a necessidade de melhores protocolos de segurança e monitoramento dinâmico para protegermos os recursos financeiros digitais e a integridade do sistema bancário do país.