Do UOL, em São Paulo (SP)

O Banco Central brasileiro suspendeu mais três instituições financeiras do sistema do Pix na noite de ontem, de forma cautelar, sob suspeita de terem recebido recursos desviados da intermediadora C&M Software. Agora, são seis entidades bloqueadas no total.

O que aconteceu

BC determinou suspensão cautelar. As instituições afetadas pela nova medida são Voluti Gestão Financeira, Brasil Cash e S3 Bank. Elas se juntam a outras três que haviam sido bloqueadas ontem: a Transfeera, a Soffy e a Nuoro Pay. Todas serão investigadas para saber se têm relação com o ataque. A Polícia Civil fala em desvio de R$ 541 milhões de uma única cliente da C&M, mas estima que mais de R$ 1 bilhão tenha sido furtado no golpe.

Suspensão tem duração máxima de 60 dias. Artigo 95-A da Resolução 30, de 2020, a "lei do Pix", estabelece que o BC pode "suspender cautelarmente, a qualquer tempo, a participação no Pix do participante cuja conduta esteja colocando em risco o regular funcionamento do arranjo de pagamentos".

O UOL entrou em contato com Voluti, Brasil Cash e S3 Bank, mas não conseguiu resposta até a publicação desta reportagem. A matéria será atualizada se houver retorno.

Entenda o ataque

A C&M, empresa que foi alvo da ação criminosa, faz a intermediação entre instituições financeiras com o SPB (Sistema de Pagamentos Brasileiro), que inclui o Pix, sistema de pagamentos instantâneos do BC (Banco Central). Tem sede em Barueri, na região metropolitana da capital paulista.

Inicialmente, o golpe foi tratado pelas autoridades como um ataque hacker. No entanto, após a prisão, pela Polícia Civil, de um funcionário da C&M Software que confessou ter participado do desvio de dinheiro, a investigação passou a apontar que a invasão ao sistema da empresa na verdade foi facilitada.

Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW.

C&M Software, em nota pública

Banco digital BMP foi o principal alvo do ataque. A fintech, responsável pelo fornecimento de contas digitais e outros serviços financeiros para empresas ou instituições não bancárias oferecerem esses serviços ao cliente, está no centro da fraude. Ainda assim, não é descartado o impacto nas contas de outros parceiros da C&M. Empresa afirma que não houve indícios de que dados sensíveis de clientes tenham sido vazados.

Ressarcimento dos valores deve recair inicialmente sobre as instituições afetadas. Os advogados ressaltam que cabe às vítimas a responsabilidade pelo ataque, por serem apenas intermediadoras a serviço do Banco Central. "A tendência é que os bancos ou instituições financeiras parceiras assumam o prejuízo diretamente, até porque há regras do próprio Banco Central que exigem ressarcimento integral ao usuário em casos de fraude comprovada", diz a advogada criminalista Lorena Pontes.

* Com informações do Estadão Conteúdo