O Banco Central (BC) reverteu a suspensão cautelar que havia aplicado à S3 Bank, uma instituição financeira de plataforma “banking as a service”, e liberou o acesso da empresa ao sistema do Pix.
A suspensão cautelar havia sido determinada pela autoridade monetária após vir à tona aquele que está sendo apontado como o maior ataque hacker contra o sistema financeiro já registrado na história do Brasil, que desviou pelo menos R$ 541 milhões.
Maior alvo do ataque, a C&M Software é responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) – o que engloba o ambiente de liquidação do Pix, sistema de transferências e pagamentos instantâneos criado pelo BC em 2020 e amplamente utilizado pelos brasileiros.
Na semana passada, a Polícia Civil de São Paulo prendeu João Nazareno Roque, suspeito de ter participado do ataque. Ele confessou que deu acesso aos hackers, por sua própria máquina, ao sistema sigiloso da C&M.
De acordo com a Polícia Civil paulista, no decorrer das investigações, foi possível identificar que Nazareno facilitava “que demais indivíduos realizassem transferências eletrônicas em massa, no importe de R$ 541 milhões para outras instituições financeiras”.
Inicialmente, relatos de fontes ligadas ao mercado financeiro davam conta de que a ação criminosa dos hackers poderia ter movimentado uma cifra bilionária, de acordo com as estimativas iniciais de fontes ligadas ao mercado financeiro – algo entre R$ 1 bilhão a R$ 3 bilhões.
Outros relatos sobre o caso apontavam que os hackers teriam desviado pelo menos de R$ 400 milhões a R$ 800 milhões.
Dois dias após o ataque, João Nazareno Roque, de 48 anos, funcionário de TI da C&M, foi preso pela Polícia Civil paulista, suspeito de ter contribuído para o ataque, ao permitir que hackers usassem suas senhas de acesso ao sistema. Para isso, segundo as investigações, ele teria recebido R$ 15 mil dos criminosos.
De pelo menos 79 pessoas que teriam sido beneficiadas pelo ataque hacker, quatro receberam, sozinhas, mais de R$ 100 milhões, segundo informações fornecidas pelo BMP à Justiça.
O Metrópoles não conseguiu contato com a S3 Bank, que não se manifestou sobre a reversão da suspensão até o momento. O BC também não se pronunciou.
Continuam suspensas temporariamente outras cinco instituições financeiras:
- Voluti Gestão Financeira.
- Brasil Cash.
- Transfeera.
- Nuoro Pay.
- Soffy.
Segundo as investigações, contas das fintechs teriam recebido parte do dinheiro desviado pelos criminosos. De acordo com o BC, a autoridade monetária tem a prerrogativa de “suspender cautelarmente, a qualquer tempo, a participação no Pix do participante cuja conduta esteja colocando em risco o regular funcionamento do arranjo de pagamentos.”
O que disseram as empresas
Uma das instituições suspensas cautelarmente pelo BC, a Transfeera, por meio de nota, afirmou que suas operações continuam funcionando normalmente, com exceção dos serviços do Pix.
“Nossa instituição, tampouco nossos clientes, foram afetados pelo incidente noticiado no início da semana e estamos colaborando com as autoridades para liberação da funcionalidade de pagamento instantâneo”, informa a plataforma.
A Nuoro Pay, por sua vez, afirma que cumpre as normas estipuladas pelo BC e adota uma postura de colaboração com as autoridades para o esclarecimento do episódio.
“A Nuoro mantém diálogo com as áreas técnicas do Banco Central e informa que medidas legais e administrativas estão em curso, permanecendo à disposição para colaborar com a elucidação dos fatos e com a expectativa de breve restabelecimento de sua normalidade operacional”, diz nota da empresa.
Também por meio de nota, a Soffy afirma que “agiu com a máxima diligência e responsabilidade”. “Bloqueamos imediatamente a conta em questão e notificamos o cliente parceiro responsável pela abertura, em linha com nosso rigoroso protocolo de segurança”, diz a empresa.
“A Soffy realiza apenas uma pré-abertura de conta, aguardando as informações e validações de segurança e conformidade a serem providenciadas pelo cliente parceiro para sua efetivação”, diz o texto.
“A Soffy confia na apuração dos fatos pelas autoridades competentes e na Justiça para que a verdade prevaleça, resguardando a reputação de uma empresa que investe e atua com seriedade no desenvolvimento da tecnologia brasileira.”
De acordo com as investigações da Polícia Civil de São Paulo, cerca de R$ 270 milhões desviados teriam sido direcionados para uma conta da Soffy.
Como foi o golpe
O golpe financeiro que atingiu a C&M Software se deu por meio de uma modalidade conhecida como “Supply Chain”, na qual os hackers atacam uma empresa com o objetivo de acessar valores dos clientes.
Um ataque desse tipo é planejado por um longo período — de seis meses ou mais. Avaliações preliminares apontam que os criminosos já estariam dentro do sistema da C&M há algum tempo.
Pelo menos seis instituições financeiras foram afetadas pela ação criminosa, com desvios de recursos de contas de empresas e interrupção temporária de operações via Pix. O número divulgado pela Polícia Civil, de R$ 541 milhões, é referente ao prejuízo de uma das instituições financeiras atingidas (a BMP).
Fontes ligadas à PF – que também abriu investigação para apurar o caso – dão conta de que o montante desviado pode ser bem maior.
Veja as instituições que confirmaram ter sido atingidas pelo ataque hacker até agora:
BMP.
Banco Paulista.
Credsystem.
Banco Carrefour.
Igreja Bola de Neve.
Leave a Reply