A Polícia Federal começou a investigar nas últimas horas desta terça (dia 1 de julho) um dos maiores ataques digitais da história do sistema financeiro nacional – talvez o maior deles, segundo fontes a par do caso. Numa ação altamente sofisticada, criminosos conseguiram acessar fraudulentamente ao menos dois sistemas centrais da indústria de tecnologia bancária brasileira. Roubaram um montante ainda não confirmado, mas que é estimado, por baixo, na casa de centenas de milhões de reais.
De acordo com informações iniciais, os criminosos invadiram um sistema da C&M Software, empresa que presta serviço tecnológico para instituições financeiras. Da C&M, obtiveram acesso indevido a outra plataforma, da BMP, principal empresa de “banking as a service” do Brasil. A BMP oferece tecnologia para bancos e fintechs. De lá, conseguiram sacar o dinheiro para contas de laranjas.
Ainda não se sabe qual a titularidade das contas afetadas – nem os nomes das fintechs responsáveis pelas contas. A PF foi acionada para localizar os hackers e conter o avanço para outros sistemas bancários. A polícia está trabalhando ao lado de técnicos do BC para desvendar o caso.
Autoridades que acompanham o crime asseguram que, apesar do prejuízo milionário, o problema foi contido. Ou seja, não haveria mais desvios em andamento e as vulnerabilidades que permitiram os acessos indevidos foram eliminadas.
Apesar dessa garantia, o ataque causou pânico entre líderes do sistema financeiro e do setor de tecnologia bancária. Empresas como a C&M e a BMP são essenciais para o bom funcionamento do sistema bancário brasileiro, que cresceu imensamente nos últimos anos com a ascensão do Pix e a proliferação de fintechs. Elas fornecem tecnologia justamente para essas fintechs, no modo “white label” – o cliente enxerga a marca da fintech, mas, resumidamente, a fintech usa a solução desses fornecedores.
O caso demonstra, de acordo com fontes do setor, que vulnerabilidades na tecnologia dessas empresas são, na prática, vulnerabilidades no sistema financeiro nacional, embora não sejam vulnerabilidades diretas do governo ou do Banco Central.
Em nota ao Bastidor, o Banco Central confirmou o ataque a C&M e afirmou que determinou o desligamento do acesso das fintechs à plataforma da empresa. Eis a íntegra da manifestação do BC: “A C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”.
Com reportagem de Diego Escosteguy e Alisson Matos
