O Banco Central (BC) decidiu suspender preventivamente a participação de três instituições financeiras no sistema Pix, devido a suspeitas de envolvimento em um ataque cibernético contra a C&M Software, prestadora de serviços tecnológicos.
As empresas afetadas pela medida são Voluti Gestão Financeira, Brasil Cash e S3 Bank. Antes delas, já haviam sido desconectadas do sistema a Transfeera, a Soffy e a Nuoro Pay. O BC está investigando a relação das seis instituições com o desvio de aproximadamente R$ 530 milhões de contas reserva que os bancos mantêm na autoridade monetária.
A suspensão, que dura 60 dias, é baseada no Artigo 95-A da Resolução 30 do Banco Central, datada de outubro de 2020, que regulamenta o Pix. Este artigo permite que o BC suspenda a participação de qualquer instituição que esteja comprometendo o funcionamento do sistema de pagamentos.
Embora a Transfeera tenha confirmado a suspensão de sua funcionalidade no Pix, a instituição ressaltou que os demais serviços continuam operando normalmente. A empresa mencionou que nem ela nem seus clientes foram impactados pelo incidente e que está colaborando com as autoridades para a reinstalação do pagamento instantâneo.
Soffy e Nuoro Pay, que atuam como fintechs, não são autorizadas pelo BC a utilizar o Pix diretamente, mas realizam transações por meio de parcerias com outras instituições financeiras. Até o momento da publicação dessa reportagem, nenhuma das duas empresas havia se pronunciado sobre a situação. Além disso, Voluti Gestão Financeira, Brasil Cash e S3 Bank também não comentaram sobre a suspensão.
O Banco Central afirmou que a suspensão visa proteger a integridade do sistema de pagamentos enquanto as investigações sobre o desvio de recursos avançam.
Na noite de 1º de outubro, um ataque aos sistemas da C&M Software levou ao desvio de recursos que os bancos mantinham para cumprir exigências legais. Os valores foram transferidos via Pix e convertidos em criptomoedas. Embora não realize transações financeiras, a C&M actua como uma ponte entre várias instituições e o Sistema de Pagamentos Brasileiro (SPB), operado pelo BC.
Em 3 de outubro, o BC liberou a C&M para reiniciar suas operações no sistema Pix. O caso está sendo investigado pela Polícia Federal, pela Polícia Civil de São Paulo e pelo Banco Central. A C&M comunicou que nenhum dado de clientes foi comprometido.
Na última sexta-feira, um funcionário da C&M foi preso após admitir ter recebido R$ 15 mil para facilitar o acesso de criminosos ao sistema da empresa, incluindo fornecer uma senha por R$ 5 mil e criar um mecanismo de acesso para os hackers em troca de mais R$ 10 mil.
