O ataque hacker que causou um prejuízo bilionário contra o sistema que liga as transações via Pix e o meio financeiro de pagamentos nacional e afetou, principalmente, o banco digital BMP. O banco nega que os clientes foram atingidos pelo crime e o prejuízo deve recair sobre as próprias instituições vítimas da fraude.

O que aconteceu

Ataque hacker atingiu o sistema da empresa de software C&M. A companhia alvo da ação criminosa é responsável pela intermediação das instituições financeiras com o SPB (Sistema de Pagamentos Brasileiro, que inclui o Pix, sistema de pagamentos instantâneos do BC (Banco Central).

Banco digital BMP foi o principal alvo do ataque hacker. A fintech, responsável pelo fornecimento de contas digitais e outros serviços financeiros para empresas ou instituições não bancárias oferecerem esses serviços ao cliente, está no centro da fraude. Ainda assim, não é descartado o impacto nas contas de outros parceiros da C&M.

Consumidores passam ilesos do desvio de dinheiro. O BMP garante que nenhum cliente foi impactado ou teve seus recursos afetados. Ainda assim, o banco digital reconhece que o ataque permitiu acesso indevido às contas reserva de instituições financeiras. "As contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária", explica a fintech.

Polícia fala em "maior invasão de dispositivo eletrônico" do Brasil. Após a prisão de um suspeito de participar do ataque, o Deic (Departamento Estadual de Investigações Criminais) afirmou que o ataque à BMP resultou em um prejuízo no valor de, aproximadamente, R$ 541 milhões. O envolvimento do crime resultou na prisão de um suspeito, que declarou ser funcionário da C&M e ter fornecido sua senha de acesso ao sistema da empesa por R$ 5.000.

Banco Central suspendeu parcialmente as operações da C&M. A autoridade monetária afirma que a decisão foi tomada "após a empresa adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes". Com isso, as operações da empresa de software podem ocorrer em dias úteis, das 6h30 às 18h30, com a aprovação da instituição participante do Pix. Também foi determinado um aperfeiçoamento do monitoramento de fraudes e limites transacionais.

Quem vai pagar?

Ressarcimento dos valores deve recair inicialmente sobre as instituições afetadas. Os advogados ressaltam que cabe às vítimas a responsabilidade pelo ataque hacker, por serem apenas intermediadoras a serviço do Banco Central. "A tendência é que os bancos ou instituições financeiras parceiras assumam o prejuízo diretamente, até porque há regras do próprio Banco Central que exigem ressarcimento integral ao usuário em casos de fraude comprovada", diz a advogada criminalista Lorena Pontes.

Responsabilidade recairá somente sobre as pessoas físicas. Franklin Gomes, mestre em direito penal econômico, afirma que o ataque sobre a ponte entre o Pix e o meio financeiro de pagamentos é classificado como estelionato. A prática isenta as empresas (pessoas jurídicas) da responsabilização criminal. Membros do alto escalão da empresa, no entanto, podem ser responsabilizados com o andamento das investigações.

Para pessoas na tomada de decisões que têm poder e gestão na empresa, as investigações podem avaliar se de alguma forma houve algum ato praticado por elas que permitiu que isso acontecesse ou, eventualmente, uma omissão que pode ter facilitado o cometimento desse crime.

Franklin Gomes, mestre em direito penal

Penalidade pode alcançar até oito anos de prisão. A punição está prevista pela Lei nº 14.155/2021 para crimes cometidos com uso de meios eletrônicos. "Pessoas físicas, quando identificadas como autoras diretas de fraudes, estão sujeitas à responsabilização criminal, com penas que incluem reclusão e multa", explica Cibele Lasinskas Machado, advogada especialista em penal empresarial.

Pena aos envolvidos pode ser agravada por envolver uma instituição financeira. Pontes afirma que o Código Penal não diferencia a sentença por tipo de vítima, mas conforme a gravidade da fraude, o valor do prejuízo e o modo de execução. "Quando a fraude atinge uma instituição financeira ou causa repercussão econômica relevante, as penas podem ser agravadas", explica ela.

Banco Central não será responsabilizado pelo ataque hacker. Pontes destaca que o regulador e fiscalizador do sistema financeiro fica isento de falhas e ataques às plataformas das instituições parceiras, a exemplo do que aconteceu com a C&M. Ainda assim, a criminalista conta que a autoridade monetária pode ser punida se for comprovada falhas na "fiscalização, homologação ou exigência de padrões mínimos de segurança" dos sistemas.

A empresa C&M Software nega responsabilidade pelo incidente. Em nota, a empresa diz colaborar com as investigações e descarta que a violação do sistema tenha ocorrido após falhas nos serviços ou na tecnologia de software. "As evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso", diz.