O Banco Central (BC) suspendeu do Pix nesta segunda-feira (7/7) mais uma instituição: a cooperativa de crédito Creditag. Com ela, já são sete suspensas desde sexta (4/7). O BC não confirma, mas por todas elas teria passado parte do dinheiro desviado pelo maior golpe hacker do Brasil, detectado na madrugada de segunda-feira (30/6). Finsiders Brasil teve acesso a uma lista que circulou neste dia; comparando com outras listas divulgadas pela imprensa, ao todo seriam 40 instituições envolvidas. Mas, segundo fonte, o número pode ser ainda maior.
O que não se sabe ainda é quais foram apenas “usadas” e quais – ou se – realmente faziam parte do esquema do golpe. As suspensões, até agora, se concentram em instituições pequenas. Além da Creditag, Transfeera, Nuoro Pay, Soffy, Voluti, Brasil Cash e S3 Bank também estão suspensas.
Clique aqui para ver a lista das 40 instituições
99PAY
ACCREDITO
BRADESCO
BTG PACTUAL
BANCO GENIAL
C6
BANCO DO BRASIL
SAFRA
SANTANDER (BRASIL)
BITSO
BMP
BRASIL CASH
CAIXA ECONOMICA FEDERAL
CCLA
CELCOIN
CLOUDWALK
COOP CREDITAG
COOP SICREDI PLANALTO CENTRAL
DOCK
E2
ITAU UNIBANCO
IUGU
MAGALUPAY
MB INVESTIMENTOS
MERCADO PAGO
NEON PAGAMENTOS
NU PAGAMENTOS
NUORO PAY
PAGARE IP
PAGSEGURO INTERNET
PINBANK
PROTOTYPE
RECARGAPAY
S3 BANK
SOFFY
STONE
SWAP
TRANSFEERA
TYCOON TECHNOLOGY
VOLUTI
Ainda não foi divulgado quanto foi desviado, mas a Polícia Civil de São Paulo acredita que a quantia pode ter chegado a R$ 2 bilhões. A Policia já prendeu João Nazareno Roque, réu confesso, que era funcionário da C&M Software e teria “vendido” suas credenciais (login e senha) para permitir a invasão hacker. O BC confirmou o ataque, e suspendeu a C&M por cautela.
Seis instituições
A C&M Software é prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria para realizar Pix. Segundo uma dessas instituições afetadas, a BMP – uma fintech de Banking as a Service (BaaS) -, o prejuízo teria atingido outras cinco. Banco Paulista, Credsystem e Banco Carrefour confirmaram na imprensa terem sido afetados, mas não falam em prejuízos. A BMP fala em algo como R$ 600 milhões, dos quais recuperou uma parte.
Em nota, a BMP disse que o ataque atingiu somente as contas reserva – mantidas diretamente no BC e utilizadas exclusivamente para liquidação interbancária. “Isso não tem relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP […] Nenhum cliente teve seus recursos acessados”.
A C&M Software, por sua vez, anunciou “medidas rigorosas” para reforçar sua segurança, contratou uma auditoria externa independente e revisa suas políticas de integração e governança.
Em nota, a Transfeera Idisse que está colaborando com as autoridades para liberação da funcionalidade de pagamento instantâneo. “A empresa reitera o compromisso com a autoridade máxima financeira do País e com os clientes, sempre prezando pela segurança do Sistema Financeiro Nacional.”
O Banco Carrefour, também em nota, informou que não houve qualquer impacto financeiro para a instituição ou para seus clientes.