Hackers atacam sistema do Pix e geram preocupação entre usuários e instituições financeiras

Desvio de R$ 400 milhões no sistema Pix expõe falhas de segurança

Uma investigação revelou que um funcionário da C&M Software foi subornado para criar acessos ao Sistema de Pagamentos Instantâneos (SPI), permitindo que criminosos realizassem transferências fraudulentas. O desvio, que resultou em perdas de R$ 400 milhões, levanta sérias preocupações sobre a segurança das transações financeiras no Brasil.

O esquema foi elaborado de forma profissional, sem a necessidade de invasões ou adivinhações de senhas. As falhas de segurança não parecem ter origem no Banco Central, mas sim na C&M Software, uma provedora de tecnologia que conecta instituições financeiras ao SPI. A Polícia Federal identificou que o funcionário subornado tinha acesso privilegiado, o que facilitou a ação criminosa.

Para que o sistema Pix funcione, três componentes são essenciais: as Contas de Pagamentos Instantâneos (Contas PI), o SPI e o Diretório de Identificadores de Contas Transacionais (DICT). As Contas PI são mantidas pelos bancos no Banco Central e são responsáveis pela movimentação de grandes volumes de dinheiro. O SPI gerencia essas operações, enquanto o DICT armazena as chaves Pix.

Funcionamento do esquema criminoso

O criminoso utilizou o SPI para emitir ordens de transferência a diversas contas, a partir da Conta PI da BMP Money Plus, que atua como um banco para instituições menores. A BMP, que gerencia transações para vários bancos digitais, foi a mais afetada pelo desvio. A investigação aponta que, embora alguns bancos tenham barrado transações suspeitas, muitos não perceberam a irregularidade a tempo.

A situação expõe a vulnerabilidade de instituições menores que dependem de tecnologia terceirizada. A falta de controles adequados permitiu que a quadrilha realizasse transferências de grandes quantias sem levantar suspeitas. A investigação continua, e novas informações devem surgir à medida que as autoridades aprofundam a análise do caso.