A Polícia Civil prendeu nesta sexta-feira, 4, um homem apontado como um dos autores do ataque hacker à C&M Software, empresa que interliga instituições financeiras ao sistema do Banco Central que inclui o Pix. O caso, que resultou em um desvio de ao menos R$ 800 milhões na última terça-feira, 1º, já é considerado a “maior invasão de dispositivo eletrônico do País”.
Os investigadores dizem que a prisão, ocorrida na tarde de quinta-feira, 3, é parte do inquérito aberto para apurar um esquema de furto qualificado por meio eletrônico, através de operações fraudulentas, contra a empresa BMP Instituição de Pagamento S/A, uma das afetadas que teve prejuízo de R$ 541 milhões.
Durante o inquérito, a polícia diz ter identificado que um funcionário da C&M estaria envolvido no esquema, “facilitando que demais indivíduos realizassem transferências eletrônicas em massa”.
Na quinta-feira, foram cumpridos mandados de prisão temporária e de busca e apreensão contra um operador de TI da C&M, no bairro City Jaraguá. Ele teria confessado “ter sido aliciado por outras pessoas” e disse que as ajudou a ingressar no sistema e a realizar as solicitações de transferências via Pix diretamente ao Banco Central.
A Justiça também autorizou o bloqueio de R$ 270 milhões de uma conta usada para receber os valores milionários desviados.
Os serviços da companhia haviam sido suspensos pelo BC após o episódio afetar as infraestruturas da empresa e prejudicar pelo menos seis instituições financeiras.
A C&M afirmou ter sido vítima de uma “ação criminosa externa”, originada a partir da violação do ambiente de um cliente, cujas credenciais de integração foram indevidamente utilizadas. “Não houve invasão direta aos sistemas da CMSW. Os sistemas críticos seguem íntegros e operacionais”, diz a empresa.
Segundo a prestadora de serviços, o ataque foi executado a partir de uma simulação fraudulenta de integração, em que um terceiro usou as credenciais legítimas de um cliente para acessar os serviços como se fosse uma instituição financeira autorizada.
A C&M é uma multinacional que interliga algumas instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), inclusive o Pix. Na quinta-feira, 3, a empresa obteve autorização do Banco Central para retomar parcialmente a prestação de serviços.
A ação criminosa prejudicou pelo menos seis instituições financeiras, como a BMP, a Credsystem e o Banco Paulista. O BC, a Polícia Federal e a Polícia Civil de São Paulo investigam o crime.
A lista oficial das instituições financeiras afetadas não foi divulgada pelo BC, mas o Estadão confirmou que entre elas estão a BMP e a Credsystem. O Banco Paulista também confirmou que foi uma das instituições afetadas pelo ataque.
A BMP é uma instituição financeira autorizada e regulamentada pelo BC desde 2009, que atua com operações de crédito e na prestação de serviços financeiros. Já a Credsystem existe desde 1996 e oferece soluções financeiras para o varejo, com foco em classes econômicas emergentes.
Foto: Rafa Neddermeyer/Agência Brasil
Leia outras notícias no HojeSC.