A C&M Software voltou nesta quinta-feira, 3, a operar o Pix para suas instituições parceiras de maneira parcial, substituindo a suspensão cautelar do Banco Central, que proibia a realização de pagamentos instantâneos por meio de sua infraestrutura.
As operações da empresa poderão ser realizadas de segunda-feira a sexta, de 6h30 às 18h30, “desde que haja anuência expressa da instituição participante do Pix e o robustecimento do monitoramento de fraudes e limites transacionais”, informou o BC.
C&M Software é um Provedor de Serviços de Tecnologia da Informação (PSTI) e conecta instituições financeiras ao Banco Central, através do Sistema de Pagamentos Brasileiro (SPB) e o Sistema de Pagamentos Instantâneos (SPI). Ela é uma integradora entre a Rede do Sistema Financeiro Nacional e fintechs e empresas que não possuem a autorização para se conectar diretamente ao BC.
A empresa integra infraestrutura de 22 instituições ao sistema Pix. Aparentemente, oito delas foram afetadas. Técnicos do BC informaram à Globonews que o desvio chega a R$ 900 milhões.
Entre as impactadas e que já foram anunciadas estão BMP, Banco Paulista, Credsystem e Banco Carrefour. Em nota em seu site, o BMP garantiu que adotou “medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua própria operação ou a seus parceiros comerciais.”
Como aconteceu o ataque
Os hackers acessaram contas reservas de instituições financeiras de pequeno porte que usavam a infraestrutura da C&M Software, distribuíram esse montante para contas laranjas e, em seguida, transferiram novamente os valores para criptomoedas.
Vale explicar que contas reservas são mantidas pelo BC e utilizadas exclusivamente para liquidação bancária e não possuem relação com as contas dos clientes dos bancos.
“Tanto a C&M Software quanto as instituições afetadas demoraram para perceber as movimentações suspeitas e de valores altos”, afirma Karen Ferreira, cofundadora da KB Negócios, empresa de consultoria que auxilia fintechs e empresas na jornada de compliance, entre outras soluções.
Regulação mais firme
Karen Ferreira é cofundadora da KB Negócios, consultoria especializada em compliance de fintechs. Foto: divulgação
As empresas envolvidas no ataque passaram a colaborar com Polícia Civil, Federal e Banco Central na resolução e investigação do ataque. Elas se colocam como vítimas de criminosos, mas também são culpadas, segundo Ferreira.
“Essas empresas são vítimas de um ataque, mas também são responsáveis porque, se a instituição de pagamento optou por contratar uma terceira parte, ela (ainda) é responsável pela segurança desse ecossistema. Ou seja, se você não vai fazer internamente e vai contratar um terceiro, o prejuízo recai sobre todas partes as envolvidas”, explica.
A especialista reforça a importância de se regular aquelas fintechs que se dizem como tal, mas que não estão no escopo de regulação do BC.
“Existe um universo amplo de fintechs. Temos as reguladas as instituições que se intitulam como tal mas não o são. Essas instituições de pagamento menores não conseguem ter todo o arcabouço interno. Por isso, elas contratam terceiros”, explica a especialista. Para ela, o Banco Central deve dar visibilidade sobre quais fintechs não são reguladas. “Quando o BC for mais rígido e cortar os elos das cadeias, teremos um ganho muito grande”, acredita.
O ataque deve fazer o Banco Central se movimentar para regular o sistema. “Algumas fintechs são criadas para lavar dinheiro. E onde é frouxo? Neste núcleo que não está regulado”, afirma.
Karen aposta que na consulta pública do BaaS de regulamentação muitos temas sejam tocados. “Muita coisa virá à tona porque os processos regulatórios precisam ser feitos”, diz. “Todos os envolvidos na cadeia precisam focar em cibersegurança. Quem eu contrato como terceiro precisa acompanhar os protocolos usados. Todas as empresas envolvidas no processo precisam investir em cibersegurança”, completa.
Por que a demora? Mancha no sistema?
Para Ferreira, a C&M Software deve ter demorado a entender o ataque porque os criminosos usaram as credenciais legítimas dessas empresas. Por outro lado, a especialista questiona como a C&M e as fintechs clientes não se atentaram para o montante que estava sendo transferido e a rapidez das transações.
Para Karen, o ataque hacker pode manchar a credibilidade da cadeia Pix como um todo. “Houve um problema na cadeia da C&M e depois das fintechs (clientes). Isso porque não havia travas para bloquear as transferências suspeitas (pela quantidade de dinheiro e pela velocidade que estava acontecendo). Era um comportamento fora da curva. Houve furo em alguma trava. Em ataques há comportamento atípico e ele pode ser identificado em questão de segundos. Mas isso não aconteceu aqui e por isso o volume foi alto”, explica.
Ferreira recomenda que instituições financeiras e fintechs usem cada vez mais camadas de segurança – como biometria digital e reconhecimento facial. “Somar camadas para ter mais idoneidade na transação”, explica.
