Hackers exploram vulnerabilidades do sistema Pix e ameaçam segurança financeira

Desvio de R$ 400 milhões pelo sistema Pix expõe falhas de segurança em instituições financeiras

Uma investigação revelou que um funcionário da C&M Software foi subornado para criar acessos ao Sistema de Pagamentos Instantâneos (SPI), permitindo que criminosos realizassem transferências fraudulentas a partir da Conta PI da BMP Money Plus. O desvio, que ocorreu na semana passada, resultou em perdas significativas, estimadas em R$ 400 milhões.

O esquema não se encaixa no estereótipo de hackers. A operação foi realizada de forma profissional, sem a necessidade de invasões ou adivinhações de senhas. As falhas de segurança não parecem ter origem no Banco Central, mas sim na C&M Software, uma provedora de tecnologia que conecta instituições financeiras ao SPI.

Para que o sistema Pix funcione, três componentes são essenciais: as Contas de Pagamentos Instantâneos (Contas PI), o SPI e o Diretório de Identificadores de Contas Transacionais (DICT). As Contas PI são mantidas pelos bancos no Banco Central e são responsáveis pela movimentação de grandes volumes de dinheiro. O SPI gerencia essas transações, enquanto o DICT armazena as chaves Pix.

Funcionário subornado e falhas de segurança

A C&M Software, que atende 22 instituições financeiras, apresentou uma vulnerabilidade em sua segurança. Um funcionário foi subornado para criar logins e senhas, permitindo o acesso ao SPI. Essa foi a primeira falha crítica. Além disso, o criminoso conseguiu realizar transferências de grandes volumes de dinheiro sem disparar alarmes nos bancos envolvidos.

A BMP Money Plus, que gerencia a Conta PI de onde os valores foram desviados, não é um banco tradicional, mas desempenha funções semelhantes. A investigação aponta que o criminoso utilizou o SPI para emitir ordens de transferência a diversas contas, sem que houvesse um registro claro de origem dos valores.

Controles de segurança e desdobramentos da investigação

Embora muitos bancos possuam controles rigorosos para identificar transações suspeitas, a BMP Money Plus e outras instituições menores podem não ter a mesma capacidade. Alguns bancos perceberam transações estranhas e conseguiram barrá-las, mas outros não tiveram a mesma sorte.

A Polícia Federal continua a investigar o caso, que expõe as fragilidades do sistema financeiro brasileiro e levanta questões sobre a segurança das operações realizadas via Pix. O desvio de R$ 400 milhões não apenas impactou as instituições financeiras, mas também gera preocupações sobre a confiança dos usuários no sistema de pagamentos instantâneos.