O Ministério Público de São Paulo (MPSP) está pleiteando na Justiça uma indenização coletiva, alegando que o ataque cibernético sofrido pela C&M Software em junho deste ano comprometeu a segurança do sistema financeiro e do ambiente digital no Brasil. O prejuízo estimado decorrente do ataque é de R$ 813,79 milhões.
O MPSP argumenta que o incidente gerou um dano significativo à confiabilidade do Sistema Financeiro Nacional, justificando a necessidade de compensação. Segundo especialistas, o pedido de indenização remete às multas aplicadas pelo ministro do Supremo Tribunal Federal, Alexandre de Moraes, aos envolvidos nos atos de 8 de janeiro.
A investigação revelou que criminosos exploraram uma vulnerabilidade na comunicação com o Banco Central (BC) para realizar transferências fraudulentas a partir de contas de oito instituições financeiras. Para isso, invadiram os sistemas da C&M Software, empresa responsável pelo envio de solicitações de movimentação via Pix ao BC.
Relatórios do Banco Central indicam que foram realizadas mais de 400 transações fraudulentas via Pix, com valores que chegaram a R$ 10 milhões por transferência. As vítimas do ataque incluem diversas instituições financeiras, com prejuízos que variam entre R$ 800 mil e R$ 541 milhões.
As autoridades investigam os crimes de furto mediante fraude cibernética, lavagem de dinheiro e formação de quadrilha. A Polícia Federal já cumpriu 23 mandados de prisão, mas seis suspeitos permanecem foragidos. O juiz responsável pelo caso classificou o incidente como o “maior ataque cibernético da história do país”.
A denúncia apresentada pelos promotores detalha que os criminosos planejaram o ataque para a madrugada de uma segunda-feira, visando explorar as brechas de segurança do Pix durante o final de semana, quando a movimentação é menor. Um dos suspeitos, identificado como Ítalo Jordi Santos Pireneus, teria articulado o crime, enquanto outro, Patrick Zanquetim de Morais, era responsável por garantir que o dinheiro chegasse aos criminosos.
A C&M Software informou ao MPSP que identificou movimentações suspeitas via Pix por volta das 4h30 e, após tentativas frustradas de interrupção, desligou o sistema. A empresa alegou que um sistema fraudulento estava enviando ordens diretamente ao Banco Central, utilizando certificados de clientes.
A investigação apurou que, cerca de 40 dias antes do ataque, a BMP Moneyplus, principal vítima do incidente, já havia manifestado preocupação com o risco de ataques cibernéticos.
Fonte: jornaldebrasilia.com.br
