Cibercriminosos conseguiram acessar contas utilizadas para transações bancárias, conhecidas como “cofres reservas”, de instituições que utilizam os serviços da empresa C&M Software. Essa companhia possui autorização para operar essas contas junto ao Banco Central do Brasil (Bacen). As contas reservas são fundamentais para processar operações de Pix entre várias instituições financeiras.
Seis instituições financeiras foram afetadas por esse ataque. Alguns grandes bancos conseguem se conectar diretamente ao Sistema de Pagamentos Brasileiro (SPB), que é o órgão regulador das transações no Brasil. No entanto, outras instituições dependem de intermediários como a C&M Software para essa conexão. Embora o Banco Central não tenha divulgado a lista completa das instituições atingidas, sabe-se que entre elas estão a BMP, a Credsystem e o Banco Paulista.
A BMP foi a principal instituição afetada. Regulamentada pelo Banco Central desde 2009, ela opera no modelo conhecido como banking as a service, fornecendo contas digitais e outros serviços financeiros para empresas e instituições que desejam oferecer esses produtos a seus clientes. Em uma nota, a BMP confirmou que o ataque permitiu acesso não autorizado à sua conta reserva, mas afirmou que nenhum de seus clientes foi afetado ou teve seus recursos comprometidos. A empresa explicou que as contas reservas são geridas diretamente pelo Banco Central e são usadas exclusivamente para liquidações entre bancos, sem relação com as contas de clientes finais.
Outro banco que enfrentou problemas foi o Banco Paulista. Em comunicado publicado em seu site, a instituição informou que uma falha em um provedor terceirizado causou uma interrupção temporária em seus serviços de Pix na segunda-feira. O Banco Paulista assegurou que o incidente não comprometeu informações sensíveis nem resultou em movimentações indevidas. A equipe técnica está trabalhando para resolver a questão e restabelecer os serviços o mais rápido possível.
