PIX

Poucas coisas têm sido tão capazes de unir o Brasil, nos últimos anos, como o Pix. Adorado pela população, o meio de pagamento instantâneo agora é alvo da investigação aberta pelos EUA sobre supostas práticas comerciais “desleais” brasileiras. Não é difícil entender as razões do incômodo.

O Pix, desenvolvido pelo Banco Central (BC) em parceria com o setor privado, resvala em pelo menos dois grupos de interesses americanos — as “big techs” e as bandeiras de cartões. Outra questão está relacionada à forma como o sistema foi concebido.

O comunicado do Representante Comercial dos Estados Unidos (USTR, na sigla em inglês) é vago e sequer menciona o Pix, mas deixa pistas. De acordo com o documento, o Brasil “pode prejudicar a competitividade de empresas americanas” que atuam nos setores de comércio digital e pagamentos eletrônicos “por exemplo, retaliando-as por não censurarem o discurso político ou restringindo sua capacidade de fornecer serviços no país”.

Lançado em novembro de 2020, o Pix rapidamente caiu no gosto dos brasileiros — basta lembrar o estrago que fez na popularidade do presidente Luiz Inácio Lula da Silva quando se espalhou a notícia falsa de que o governo cogitava taxar as transações feitas por meio do sistema. Hoje, é usado por 93% da população adulta do país, segundo pesquisa do Google publicada ontem pelo Valor, e tornou-se o meio de pagamentos mais popular do Brasil.

O Pix tirou espaço do dinheiro físico, dos boletos e dos cartões de débito, principalmente. Com o desenvolvimento de ferramentas como Pix Parcelado e Pix Automático, começa a concorrer também com os cartões de crédito, um segmento que ainda cresce no país.

Os arranjos de cartões de crédito e débito são feitos em torno das bandeiras e as dominantes no mercado brasileiro, como se sabe, são as americanas Visa e Mastercard. Ambas são um fator óbvio no descontentamento americano, mas não o único e talvez não o principal. E aí é preciso voltar à origem do Pix.

Em junho de 2020, meses antes de o sistema instantâneo brasileiro entrar em funcionamento, a Meta anunciou que lançaria um serviço de pagamentos por meio do WhastApp. O Brasil seria uma espécie de modelo para, depois, Mark Zuckerberg, o dono fundador da Meta, expandir a operação para outros mercados. Havia grande expectativa porque o serviço de mensageria era quase onipresente no país.

O Banco Central e o Conselho Administrativo de Defesa Econômica (Cade) alegaram que o lançamento do serviço poderia causar “danos irreparáveis” ao Sistema de Pagamentos Brasileiro (SPB)”. O motivo era que a operação não poderia estrear naquele momento porque os impactos dela no mercado ainda estavam sendo avaliados, bem como os aspectos regulatórios que deveria seguir. No entanto, muita gente no mercado ficou com a sensação de que o BC “sentou em cima” do caso e atrasou a iniciativa porque era parte interessada no desenvolvimento do Pix — algo que a autoridade monetária sempre negou.

Os pagamentos via WhatsApp só começaram a ser efetivamente oferecidos em maio de 2021, quando já fazia seis meses que o Pix estava na rua. Depois disso, o serviço da Meta nunca se tornou relevante, principalmente para transferências entre pessoas físicas.

É provável que o atraso no lançamento tenha reduzido a competitividade do sistema de pagamentos da Meta. Porém, não foi o único fator. Há diferenças fundamentais entre o Pix e os pagamentos via WhatsApp que ajudam a explicar o alcance de um e de outro.

A principal delas é que o Pix é universal. A participação no arranjo é compulsória para bancos e grande parte das instituições de pagamentos do país, o que significa que é possível mandar dinheiro para qualquer conta e receber de qualquer conta, sem custos.

Outro impulso ao meio instantâneo decorre do fato de que ele trafega nos “trilhos” das contas tradicionais e digitais de bancos e fintechs. Não é preciso ter cartão nem limite de crédito — coisas que ainda são um luxo para parte da população brasileira.

Os pagamentos via WhatsApp são de outra natureza. Surgiram como um arranjo privado no mundo dos cartões, limitado a credenciadoras e emissores que fecharam acordo comercial com a Meta. Esses acordos foram se expandindo com o tempo e, recentemente, a “big tech” anunciou que lançará uma integração com as contas correntes e digitais para permitir pagamentos com o Pix. É, portanto, uma universalidade construída aos poucos e baseada em estratégia comercial, e não uma imposição regulatória.

Público e privado
O mal-estar americano com o Pix também pode ter relação com a natureza do sistema. A ideia de um meio para pagamentos instantâneos surgiu de técnicos do Banco Central, na gestão de Ilan Goldfajn, e ganhou vida no mandato de Roberto Campos Neto — que não só abraçou a causa como também incentivou o desenvolvimento de produtos derivados, como parcelamentos e pagamentos recorrentes.

O Estado teve um papel não apenas de indutor e regulador, mas também participa do arranjo do Pix. É o BC que opera e gere o Diretório de Identificadores de Contas Transacionais (DICT), base de dados que armazena informações cadastrais dos usuários e das contas do Pix.

O modelo já foi alvo de críticas dos bancos, que veem riscos na manutenção de informações críticas nas mãos de um agente público sujeito a um orçamento limitado. No entanto, vale ressaltar que os problemas de segurança que ocorreram até agora no Pix não estão relacionados a fragilidades no DICT.

Apesar da presença forte do BC, é um equívoco pensar que o Pix é uma solução meramente estatal. Todo o desenvolvimento tecnológico e operacional foi feito em parceria com os bancos, por meio de grupos de trabalho existentes pelo menos desde 2018.

Embora tenha havido alguma discordância inicial das instituições financeiras tradicionais, que viram minguar as receitas provenientes de TEDs, DOCs e cartões de crédito, o setor rapidamente aderiu ao projeto, sob pena de perder clientes para os bancos digitais que estavam chegando. A adesão obrigatória, para o bem e para o mal, fez o mercado acontecer — e inviabilizou iniciativas rivais.

Nos Estados Unidos, não é assim. O Federal Reserve, banco central americano, criou o FedNow, mas a adesão dos bancos a ele não é obrigatória, como acontece aqui. Além disso, o sistema tem a concorrência de vários serviços privados de pagamentos instantâneos de grandes instituições privadas, como RTP e Zelle. De acordo com o Fed, bancos pequenos e médios e cooperativas de crédito representam mais de 95% dos participantes do FedNow.

No Brasil, a universalidade do Pix é apontada como um dos fatores que contribuíram para o aumento da bancarização, ao lado das fintechs. De acordo com dados da ABFintechs, o mercado brasileiro incluiu de cerca de 60 milhões de brasileiros na última década.

Esse movimento também se vê em outros países emergentes, segundo relatório divulgado em outubro do ano passado pela ACI Worldwide em parceria com o Centre for Economics and Business Research (Cebr). O estudo relaciona os pagamentos em tempo real à inclusão financeira, especialmente entre jovens e pessoas de baixa renda — um fato que deveria ser positivo para as empresas, inclusive as americanas.

Fonte: VALOR

O prejuízo com o ataque hacker que afetou a C&M Software na semana passada é estimado por fontes do setor, por enquanto, em cerca de R$ 800 milhões. Entretanto, novas informações estão surgindo e esse volume pode ultrapassar R$ 1 bilhão, segundo disse em entrevista exclusiva ao Valor o delegado divisionário da Delegacia de Crimes Cibernéticos (DCCibre) da Polícia Civil de São Paulo, Paulo Eduardo Barbosa.

“Inicialmente foram seis empresas afetadas pelo caso da C&M, mas aos poucos mais instituições estão nos procurando. Tinha o valor de R$ 541 milhões da BMP, agora ontem outro banco nos procurou informando um prejuízo de mais R$ 104 milhões, e outro hoje com R$ 49 milhões. Então, pelas informações que estamos recebendo, com um cálculo preliminar, estimamos que pode passar de R$ 1 bilhão”, comentou.

Segundo o delegado, a depender do tamanho do banco, e se o prejuízo for pequeno, de algumas dezenas de milhões de reais, muitos decidem nem notificar a polícia, até por temerem repercussões negativas do caso, com risco de dano reputacional. “Temos historicamente essa subnotificação mesmo, então algumas instituições ainda estão avaliando se vale denunciar.”

De acordo com Barbosa, o Banco Central tem colaborado com as investigações, repassando algumas informações, mas pelo fato de as investigações ainda estarem em um estágio inicial, não foi destacado nenhum técnico para colaborar de maneira dedicada com a DCCiber. “Estamos na fase de calcular o prejuízo e tentar entender para onde o dinheiro foi desviado.”

Ele lembra que, além de algumas quantias bloqueadas pelas próprias fintechs que perceberam a atipicidade das movimentações, a Polícia Civil, em parceria com o Ministério Público, conseguiu bloquear R$ 15 milhões que haviam sido convertidos em criptoativos. “Quando vai para cripto, ainda mais se estiver em uma carteira fria, é mais difícil recuperar. Mas se encontrarmos algo, se tiver sido usado para comprar propriedades, veículos, vamos pedir o bloqueio e o sequestro.”

O delegado diz que não pode revelar detalhes dos próximos passos da investigação, mas que deve ter novidades na semana que vem. Segundo ele, o foco é tentar identificar o grupo que aliciou o então funcionário da C&M João Nazareno Roque para que fosse aplicado o golpe.

“O importante foi termos conseguido pegar o fio da meada, prender o funcionário e conseguir acesso às duas máquinas que ele usou, isso nas primeiras 48 horas. Agora estamos no trabalho de extração das informações destes computadores.”

Ainda não é possível afirmar se este grupo tem ligações internacionais, mas o chefe da DCCiber acredita que ele é formado principalmente por brasileiros. Segundo ele, algumas fintechs envolvidas estão no nome de “laranjas”, com os reais donos morando em outros países.

“Foi um ataque que explorou a vulnerabilidade do sistema, usando uma empresa é que autorizada pelo BC, apesar de não ser fiscalizada por ele. A polícia não faz ”manutenção preventiva”, não é nosso papel. A gente só entra depois que o problema acontece”, aponta.

Barbosa lembra que a prisão temporária de Roque, inicialmente de cinco dias, já foi prorrogada por mais cinco dias e que a polícia pediu a conversão em prisão preventiva, que não tem um prazo definido. “A promotoria já se manifestou favorável e a Justiça aprovou hoje”.

O caso, que estava no Departamento de Inquéritos Policiais (Dipo), agora foi transferido para a 1ª Vara de Crimes Tributários, Organização Criminosa e Lavagem de Bens e Valores em São Paulo.

Fonte: valor

O homem preso suspeito de envolvimento em um dos maiores ataques hackers ao sistema financeiro brasileiro é um operador de TI de 48 anos que começou como eletricista predial, foi técnico de instalação de TV a cabo e entrou na faculdade de tecnologia aos 42.

João Nazareno Roque é funcionário da C&M, uma empresa que interliga bancos menores aos sistemas do Banco Central, como o PIX. Ele foi detido no bairro City Jaraguá, na Zona Norte da capital. A defesa dele não foi localizada pela reportagem.

Segundo a polícia, ele vendeu por R$ 5 mil a sua senha de acesso a um sistema sigiloso e depois, por mais R$ 10 mil, participou da criação de um sistema para permitir os desvios. Ele relatou ainda que só se comunicava com os criminosos por celular e não os conhece pessoalmente. Além disso, contou que trocou de celular a cada 15 dias para não ser rastreado.

O ataque cibernético que afetou pelo menos seis instituições financeiras causou alvoroço no mercado financeiro na quarta-feira (2).

O suspeito de facilitar o ataque hacker tem 20 anos de experiência como eletricista predial e residencial, leitura e interpretação de projetos no autoCad, segundo perfil na rede social LinkedIn. Ele também atuou durante quatro anos como técnico de instalação de TV a cabo NET.

Em seu perfil, diz que tem uma “pequena experiência com tecnologia, relacionada a ligação de câmeras, computadores e distribuição de ramais na suíte de rede”.

Ao falar de sua trajetória profissional nas redes sociais, ele se apresenta como alguém que se destacou por “investir em um curso superior”, “com muita vontade e engajamento para aprender e agregar na tão sonhada recolocação na área”.

“Tenho idade onde muitos esperam já estar em cargos c-level [liderança], mas estou aqui com muita vontade de recomeçar. Com o brilho nos olhos e disposição de um menino para dar o meu melhor, bem como aprender tudo o que puder”, escreveu ele ao falar sobre o ingresso na área de tecnologia.

Após o curso superior, que durou de 2020 a 2023, ele se tornou desenvolvedor back-end júnior, profissional responsável por construir e manter a parte dos sistemas projetados que não são visíveis para o usuário final.

Foi por conta dessa função na C&M que ele foi aliciado pelos hackers. Ele contou em depoimento à delegacia de Crimes Cibernéticos que foi abordado na saída de um bar na capital paulista para dar sua senha aos criminosos e rodar códigos no sistema para gerar as fraudes.

Suspeito recebeu R$ 15 mil

Em depoimento à polícia, Roque afirmou que o primeiro contato com os hackers aconteceu em março, quando um homem o abordou e demonstrou conhecer detalhes sobre seu trabalho.

Dias depois, ele recebeu uma ligação via WhatsApp com a proposta de entregar suas credenciais em troca de R$ 5 mil. Após o pagamento, João forneceu login e senha corporativos. Duas semanas depois, criou uma conta na plataforma Notion para receber instruções sobre como operar o sistema remotamente e, em seguida, passou a executar comandos a partir do próprio computador.

De acordo com o depoimento de Roque, ele recebeu dois pagamentos:

R$ 5 mil pelo fornecimento do login e senha corporativos da empresa C&M. O pagamento foi feito via motoboy, que também recolheu os dados de acesso.
R$ 10 mil por continuar inserindo comandos no sistema a partir do próprio computador, a serviço do grupo criminoso. Esse segundo valor também foi pago em notas de R$ 100, novamente via motoboy.
O que diz a C&M Software
A empregadora do suspeito informou em nota que segue colaborando com as autoridades competentes nas investigações.

Segundo a empresa, a estrutura de proteção da CMSW foi decisiva para identificar a origem do acesso indevido e contribuir com o avanço das apurações em curso.

Fonte: G1

A Polícia Civil de São Paulo informou nesta sexta-feira (4) que a BMP, uma das instituições afetadas pelo ataque hacker ao sistema financeiro, perdeu, sozinha, R$ 541 milhões.

A estimativa é que pelo menos outras cinco instituições também tenham registrado um acesso indevido em suas contas de reserva.

? As contas de reservas são contas que os bancos e instituições financeiras mantêm no Banco Central do Brasil (BC).

Essas contas funcionam como uma conta corrente de pessoas físicas, e são utilizadas para processar as movimentações financeiras das instituições e garantir liquidez — ou seja, serve como uma reserva de recursos que os bancos são obrigados a manter para garantir que cumpram com suas obrigações.

Além disso, as contas também servem para que as instituições possam participar de operações com o próprio BC — como empréstimos de liquidez, aplicações em títulos públicos e depósitos compulsórios (valores obrigatórios mantidos pelos bancos no BC). O BC não divulga oficialmente o valor total movimentado diariamente nas contas de reserva.

Segundo o Departamento Estadual de Investigações Criminais (DEIC) da 2ª Delegacia da Divisão de Crimes Cibernéticos da Polícia Civil de São Paulo, um homem suspeito de facilitar o ataque foi preso nesta sexta-feira (4).

De acordo com o órgão, a BMP registrou um boletim de ocorrência na última segunda-feira (30), indicando um esquema de furto por meio de operações fraudulentas via PIX e um prejuízo de aproximadamente R$ 541 milhões.

A investigação mostrou, então, que um funcionário da C&M Software — empresa que teria sofrido o ataque hacker que permitiu o acesso às contas reservas das instituições financeiras — teria dado acesso à sua máquina para que os hackers atacassem os sistemas sigilosos da companhia.

Segundo representantes do DEIC e da Secretaria de Segurança Pública de São Paulo, o prejuízo total do ataque ainda está sendo contabilizado, conforme os órgãos públicos trabalham para identificar as demais instituições financeiras afetadas.

A Polícia ainda informou que a investigação continua para identificar e prender os demais criminosos envolvidos no caso.

Em comunicados anteriores, a empresa também já havia reforçado que nenhum de seus clientes foi impactado ou teve seus recursos acessados, indicando que teria recursos suficientes para manter suas operações normalmente.

?Esses recursos, chamados pelo mercado de “capital colateral”, são uma exigência do BC e servem como garantia para proteger o sistema financeiro e evitar riscos sistêmicos — risco que o problema de um banco se espalhe e afete outras instituições, causando um “efeito dominó”.

O que é a BMP?
A BMP é uma instituição financeira que provém soluções financeiras, bancárias e tecnológicas para outras instituições — ou seja, o banco não têm clientes pessoa física.

A companhia trabalha no modelo Banking as a Service (BaaS) — uma relação de parceria entre instituições financeiras e não-financeiras para oferta de produtos e serviços financeiros, segundo o BC — e também atua no mercado de crédito.

Na prática, isso significa que além de conceder empréstimos para outras empresas, a BMP também oferece tecnologias para que outras instituições possam oferecer serviços financeiros como contas digitais, transferências, pagamentos, entre outros.

O que aconteceu?
A C&M Software, uma empresa brasileira de tecnologia da informação voltada para o mercado financeiro, reportou para o Banco Central um ataque às suas infraestruturas digitais.

O incidente permitiu o acesso indevido a contas de reserva de pelo menos seis instituições financeiras que estavam conectadas à companhia.

Ainda não há confirmação oficial sobre o valor total envolvido no ataque, mas fontes da TV Globo estimam que a quantia pode chegar a R$ 800 milhões.

O que deve acontecer a partir de agora?
Segundo representantes do DEIC e da Secretaria de Segurança Pública de São Paulo, as investigações sobre o ataque continuam em andamento para identificar e localizar todos os criminosos envolvidos.

Além disso, o prejuízo total ainda está sendo contabilizado, conforme as demais instituições financeiras afetadas, que eram clientes da C&M Software, são identificadas.

Em nota, a C&M informou que continua a colaborar de “forma proativa” com as autoridades nas investigações sobre o incidente.

“Desde o primeiro momento, foram adotadas todas as medidas técnicas e legais cabíveis, mantendo os sistemas da empresa sob rigoroso monitoramento e controle de segurança”, afirmou a empresa.

“Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW”, completou a companhia, reforçando que sua infraestrutura não foi a origem do incidente e permanece “plenamente operacional”.

Fonte: G1

A Polícia Civil de São Paulo prendeu na quinta-feira (3) o homem suspeito de facilitar um dos maiores ataques hackers ao sistema financeiro brasileiro por meio de empresa que presta serviços a bancos menores e fintechs para realizar operações com o Banco Central, entre elas, o PIX.

O ataque cibernético que afetou pelo menos seis bancos causou alvoroço no mercado financeiro na quarta-feira (2). Mais de R$ 500 milhões de um dos banco foram desviados via PIX em apenas duas horas e meia.

Segundo o Departamento Estadual de Investigações Criminais (Deic), o preso, João Nazareno Roque, é funcionário da empresa de tecnologia C&M Software (CMSW) e deu acesso pela máquina dele ao sistema sigiloso para os hackers que efetuaram o ataque.

Aos 48 anos, ele começou como eletricista predial, foi técnico de instalação de TV a cabo e entrou na faculdade de tecnologia aos 42. Ele foi preso no bairro de City Jaraguá, na Zona Norte de São Paulo. Um vídeo mostra o momento da prisão dele. A reportagem não conseguiu contato com a defesa do acusado.

Em nota, a C&M Software diz que colabora com as investigações e que, desde que foi identificado o incidente, adotou “todas as medidas técnicas e legais cabíveis”. A empresa diz também que a plataforma continua plenamente operacional e que, em respeito ao trabalho das autoridades, não se pronunciará publicamente enquanto os procedimentos estiverem em andamento.

À polícia, Roque disse que vendeu a sua senha por R$ 5 mil a hackers em maio e depois, por mais R$ 10 mil, participou da criação de um sistema para permitir os desvios. Ele relatou ainda que só se comunicava com os criminosos por celular e não os conhece pessoalmente. Além disso, contou que trocou de celular a cada 15 dias para não ser rastreado.

Uma conta com R$ 270 milhões usada receber o dinheiro desviado já foi bloqueada. A investigação policial apura o envolvimento de outras pessoas.

O caso veio a público quando a BMP, empresa que é cliente da C&M, registrou um boletim de ocorrência relatando que havia sido alvo de desvios milionários, e a C&M que reportou às autoridades um ataque às suas infraestruturas. A BMP perdeu, sozinha, R$ 541 milhões, segundo a polícia.

De acordo com a C&M, criminosos usaram credenciais, como senhas, de seus clientes para tentar acessar seus sistemas e serviços de forma fraudulenta. Isso permitiu o acesso indevido a informações e contas de reserva de pelo menos seis instituições financeiras.

O BC ainda não informou o nome de todas as instituições afetadas. Também não há confirmação oficial sobre os valores envolvidos no ataque, mas fontes da TV Globo estimam que a quantia pode chegar a R$ 800 milhões.

O que aconteceu?
A C&M Software reportou para o Banco Central um ataque às suas infraestruturas digitais. Esse tipo de ataque é conhecido pelo mercado como “cadeia de suprimentos” (“supply chain attack”, em inglês). Nele, invasores acessam sistemas de terceiros usando credenciais (como senhas) privilegiadas para realizar operações financeiras.

? As contas de reservas são contas que os bancos e instituições financeiras mantêm no BC. Essas contas funcionam como uma conta corrente e são utilizadas para processar as movimentações financeiras das instituições. Também podem servir como uma reserva de recursos.

O que faz a C&M Software?
A C&M Software é uma empresa brasileira de tecnologia da informação (TI) voltada para o mercado financeiro. Entre os serviços prestados pela companhia, está o de conectividade com o Banco Central e de integração com o Sistema de Pagamentos Brasileiro (SBP).

Na prática, isso significa que a empresa funciona como uma ponte para que instituições financeiras menores possam se conectar aos sistemas do BC e fazer operações — como o PIX, por exemplo.

A empresa tem atuação nacional e internacional e foi homologada pelo BC para essa função desde 2001. Atualmente, outras oito empresas também são homologadas no país.

Qual foi o impacto do ataque?
Apesar de as instituições indicarem que não houve nenhum dano às contas e informações de seus clientes, especialistas alertam para os impactos significativos no próprio sistema financeiro.

Ainda não há confirmação oficial sobre os valores envolvidos no ataque, mas fontes da TV Globo estimam que a quantia pode chegar a R$ 800 milhões.

O BC ainda não informou o nome de todas as instituições afetadas. Uma das que se sabe é a BMP, empresa que fornece infraestrutura para plataformas bancárias digitais e é cliente da C&M Software. A BMP foi quem divulgou nota sobre o incidente.

“O incidente de cibersegurança comprometeu a infraestrutura da C&M e permitiu acesso indevido a contas reserva de seis instituições financeiras, entre elas a BMP”, diz a nota da empresa.

O jornal “Valor Econômico” indicou que a Credsystem e o Banco Paulista também estavam entre as instituições afetadas.

O que deve acontecer agora?
Após o incidente, ainda na quarta-feira, o BC afirmou que determinou o desligamento do acesso das instituições financeiras afetadas às infraestruturas operadas pela C&M Software. Essa suspensão cautelar imposta pelo BC à empresa foi substituída por uma suspensão parcial nesta quinta.

Micaella Ribeiro, da IAM Brasil, acredita que o incidente também deverá atrair atenção de reguladores, como o BC e o Conselho Monetário Nacional, que vêm acompanhando o risco sistêmico associado à transformação digital do setor.

O que diz a C&M Software
A C&M Software informa que segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025.

Desde o primeiro momento, foram adotadas todas as medidas técnicas e legais cabíveis, mantendo os sistemas da empresa sob rigoroso monitoramento e controle de segurança.

A estrutura robusta de proteção da CMSW foi decisiva para identificar a origem do acesso indevido e contribuir com o avanço das apurações em curso.

Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW.

Reforçamos que a CMSW não foi a origem do incidente e permanece plenamente operacional, com todos os seus produtos e serviços funcionando normalmente.

Em respeito ao trabalho das autoridades e ao sigilo necessário às investigações, a empresa manterá discrição e não se pronunciará publicamente enquanto os procedimentos estiverem em andamento.

A CMSW reafirma seu compromisso com a integridade, a transparência e a segurança de todo o ecossistema financeiro do qual faz parte princípios que norteiam sua atuação ética e responsável ao longo de 25 anos de história.

Fonte: G1

Os clientes de uma série de bancos ficaram sem acesso ao Pix após um ataque hacker à C&M Software, empresa de tecnologia que conectava os sistemas das instituições financeiras aos do Banco Central (BC).

Por meio do ataque, os criminosos conseguiram desviar recursos de contas de oito instituições financeiras, no valor de ao menos R$ 800 milhões, segundo relatos de pessoas a par do assunto. O ataque cibernético já é considerado o maior da história dentro do BC.

A C&M atende a instituições financeiras de pequeno porte, que não têm acesso direto aos sistemas do Pix. A empresa fazia essa conexão para 22 bancos, instituições de pagamento, cooperativas e sociedades de crédito.

O BC, assim que foi informado do incidente, desligou as conexões da C&M aos sistemas do Pix. Dessa forma, as instituições clientes ficaram sem acesso ao Pix e terão de procurar, por ora, outros prestadores de serviços para se conectarem com os sistemas do BC.

“A C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”, disse o BC, em nota, sem informar o nome dos bancos envolvidos.

Segundo fontes, o problema ocorreu por provável brecha de segurança no sistema da empresa de tecnologia e por possíveis controles frouxos nas instituições que foram afetadas pelo ataque.

Nenhum sistema do BC foi atingido, e o Pix funciona normalmente. O regulador está investigando o ocorrido. De acordo com informações do g1, a Polícia Federal também instaurou inquérito para investigar o ataque.

Ataque ‘sofisticado’
Pedro Diógenes, diretor técnico para a América Latina da CLM, de segurança da informação, explica que, quando uma instituição emite a ordem de pagamento, a empresa de software é responsável por transformá-la em uma linguagem padronizada para que o BC e o Sistema de Pagamento Brasileiro (SPB) entendam:

— Foi um ataque muito sofisticado — afirmou.

O Banco Paulista foi uma das instituições afetadas. Ele informou que “uma falha no provedor terceirizado” causou a interrupção temporária do Pix em várias instituições. O banco disse que atua com o BC para restabelecer o serviço.

“A falha foi externa, não comprometeu dados sensíveis nem gerou movimentações indevidas”, afirmou o Banco Paulista, em nota.

Houve ainda desvio de recursos de contas das instituições financeiras. Uma das prejudicadas, a BMP afirmou que o incidente permitiu o acesso indevido a contas reserva de seis instituições financeiras. As contas reserva são mantidas diretamente no BC e usadas para liquidação de operações entre os bancos, sem qualquer relação com as contas dos clientes ou com os saldos mantidos na BMP.

“Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados”, disse, em nota. “A instituição adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais.”

Ao g1, o diretor comercial da C&M, Kamal Zogheib, afirmou que a empresa foi vítima de uma ação criminosa que envolveu o uso indevido de credenciais de clientes para tentar acessar seus sistemas e serviços de forma fraudulenta.

“A CMSW confirma que colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Polícia Civil de São Paulo, nas investigações em andamento”, afirmou, em nota.

Zogheib acrescentou que todos os sistemas críticos da companhia permanecem “íntegros e operacionais”.

Controle mais rígido
Augusto Barros, diretor do Instituto de Defesa Cibernética (IDCiber), aponta que, mesmo com o ataque, o setor financeiro é um dos que mais investem em tecnologia, o que permitiu que a resposta fosse rápida e diminuísse o impacto aos usuários:

— Acredito que o grande impacto será no próprio setor, que deverá buscar mitigar os riscos com mais efetividade.

Diógenes, da CLM, acredita que, após o ataque, a regulamentação do BC pode ficar ainda mais rígida.

Fonte: OGLOBO

O PIX Automático está disponível a partir desta segunda-feira (16). A nova ferramenta é alternativa ao débito automático tradicional e até ao cartão de crédito.

A ideia é facilitar o pagamento de contas recorrentes, como de energia, de água, mensalidades escolares, taxas de condomínio e assinaturas.

1. O que é o Pix Automático?
   O Pix Automático é uma nova ferramenta do Banco Central do Brasil para pagamentos recorrentes, como contas de consumo (energia, água, internet, telefone, gás e outras) além de mensalidades escolares e assinaturas.

Com ele, o usuário autoriza a cobrança uma única vez e as contas são pagas automaticamente, sem a necessidade de repetir o processo a cada vencimento. É uma alternativa ao débito automático tradicional e ao cartão de crédito.

2. Como as empresas e MEIs podem começar a receber pagamentos via Pix Automático?
   Empresas de todos os portes e Microempreendedores Individuais (MEIs) que desejam receber pagamentos via Pix Automático devem contratar o serviço com seu banco ou instituição financeira de preferência.

É requisito que a empresa esteja ativa há mais de seis meses, medida do Banco Central para evitar golpes e fraudes.

3. Qual é a diferença do Pix Automático para o débito automático tradicional?
   A principal diferença é que o Pix Automático permite à empresa receber de clientes de qualquer instituição financeira após contratar o serviço com um único banco.

Ao contrário, no débito automático tradicional, era necessário firmar um convênio específico com cada banco para cada cliente, o que torna o processo mais complexo.

4. Haverá custos para as empresas que utilizarem o Pix Automático?
   Sim, bancos e instituições financeiras podem cobrar das empresas pela oferta do Pix Automático, mas não dos clientes.

A expectativa é que esses custos sejam menores que os do débito automático, podendo até ser inexistentes, devido à forte concorrência.

5. Como os clientes podem configurar um pagamento com Pix Automático?
   Clientes configuram o Pix Automático após a empresa solicitar a autorização para a cobrança, o que aparece no aplicativo do banco do cliente.

O cliente pode aceitar ou recusar, e é possível definir regras, como valor máximo de pagamento ou uso de cheque especial. A autorização também pode ocorrer via QR Code, site ou app da empresa.

6. O que acontece após o cliente autorizar um pagamento com Pix Automático?
   Após a autorização, a empresa envia a cobrança ao banco do cliente, que agenda o pagamento e avisa o cliente, que pode conferir o valor e o saldo disponível.

No dia do vencimento, o banco realiza o pagamento conforme as regras definidas previamente pelo cliente. A frequência pode ser semanal, mensal, trimestral ou anual.

7. Os clientes podem ser cobrados por usar o Pix Automático?
   Não, o pagador, ou seja, o cliente, nunca pode ser cobrado pelo uso do Pix. Essa regra é válida para todas as transações, incluindo transferências entre pessoas e pagamentos realizados por pessoas físicas a empresas, garantindo que o serviço seja gratuito para o usuário final.
8. Quais são os principais benefícios do Pix Automático?
   O Pix Automático simplifica o pagamento de contas recorrentes, oferecendo uma alternativa prática ao débito automático e ao cartão de crédito.

Ele beneficia cerca de 60 milhões de brasileiros sem acesso a cartão de crédito para assinaturas. Para as empresas, facilita o recebimento de clientes de qualquer banco, otimizando a cobrança.

9. Como receber por PIX Automático nos principais bancos do país?
   ▶️ BANCO DO BRASIL: Empresas clientes do BB já podem contratar o PIX Automático e receber dessa forma dos pagadores que têm conta no banco. Para receber de clientes de outras instituições, o sistema começa a funcionar no dia 16 de junho.

Por enquanto, a contratação do serviço deve ser feita nas agências do BB, mas em breve também estará disponível nos canais digitais, segundo o banco.

▶️ CAIXA: O PIX Automático estará disponível para empresas e pessoas físicas a partir de 16 de junho, como previsto pelo BC. A contratação poderá ser feita pelo app ou nas agências, e o custo do serviço será informado no momento da adesão.

▶️ ITAÚ UNIBANCO: O início da operação do PIX Automático também será no dia 16 de junho. No entanto, o banco destacou que oferece desde o começo do ano uma ferramenta similar, de pagamentos recorrentes com PIX, que funciona entre clientes pagadores e recebedores Itaú.

Para aderir ao PIX Automático, a partir do dia 16, as empresas deverão entrar em contato com o seu gerente da conta.

▶️ SANTANDER: Desde novembro, a ferramenta está disponível para pagadores e recebedores que são clientes do banco.

Além disso, desde abril, o Santander disponibiliza um ambiente de desenvolvimento para que empresas clientes do banco realizem testes do PIX Automático com pagamentos interbancários, e isso estará disponível a partir do dia 16 de junho. A contratação pode ser feita pelo Internet Banking Empresas (IBE), no menu “PIX”.

▶️ BRADESCO: O serviço já está disponível para empresas correntistas que utilizam o Bradesco para receber pagamentos de seus clientes também correntistas do banco. Caso o pagador seja cliente de outra instituição financeira, o serviço ficará disponível em 16 de junho, seguindo o cronograma do Banco Central.

Empresas interessadas em receber pagamentos via Pix Automático devem entrar em contato com seu gerente Bradesco para ativar o serviço.

▶️ NUBANK: O banco não vai oferecer o PIX Automático para recebedores, apenas para pagadores, a partir de segunda-feira (16).

Segundo a instituição, a ferramenta será acompanhada de uma funcionalidade chamada “buscar próximas contas”. Com ela, além de programar os pagamentos automáticos, os clientes poderão optar por revisar as cobranças antes de autorizar cada desconto.

Fonte: G1

O Pix Automático começa a funcionar nesta segunda-feira (16) e a nova ferramenta promete simplificar a forma como são feitos os pagamentos de contas recorrentes, como contas de luz, água, condomínio, escola, academia e serviços por assinatura de streaming, por exemplo.

O Banco Central (BC) explica que com o pix automático os pagamentos podem ser feitos dando uma autorização prévia pelo app da conta, sem precisar autorizar cada pagamento.

Mas como funciona? Tem algum custo? Como implantar na minha empresa? O Valor Investe reuniu as respostas para as principais dúvidas sobre o assunto.

Neste modelo de pagamento, os pagamentos recorrentes poderão ser feitos dando uma autorização prévia pelo app da conta bancária, sem precisar autorizar cada vencimento. Quem recebe o pagamento é sempre uma conta PJ (Pessoa Jurídica).

Na prática, o recebedor (empresa) envia ao pagador (cliente) uma solicitação de consentimento de cobranças futuras, que inclui parâmetros como:

Valor máximo por transação;
Frequência e periodicidade das cobranças (se é semanal, mensal, trimestral, semestral ou anual);
Data de vencimento;
Validade da autorização;
Uso (ou não) de crédito da conta (cheque especial).
O pagador consente previamente as cobranças via autenticação (como senha ou biometria) no aplicativo do banco. Cada autorização recebe um Consentimento ID, registrado na instituição financeira do pagador.

Quais as vantagens?
Entre os diferenciais da ferramenta está o fato de que o usuário consegue visualizar e gerenciar autorizações diretamente no app, além de ser notificado previamente antes de qualquer cobrança — diferente do débito automático.

O modelo também dispensa a necessidade de contratação de intermediários como bandeiras e adquirentes, como acontece na recorrência no cartão de crédito, tornando a operação mais barata para quem recebe o pagamento.

Tem alguma cobrança?
Para o usuário pagador, o serviço deve, obrigatoriamente, ser gratuito. No entanto, os bancos que prestam serviço para os estabelecimentos comerciais podem cobrar de acordo com suas próprias políticas comerciais.

Como pagar com Pix Automático?
Para usar a ferramenta, é preciso checar se o prestador de serviço oferece essa opção.

Quem define o valor do pagamento?
O valor pago de forma recorrente pode ser fixo ou variável. O valor das cobranças recorrentes é definido pelo recebedor, que estabelece o montante a ser debitado em cada transação, conforme contrato ou acordo comercial vigente.

Porém, o pagador detém controle sobre os parâmetros da autorização, podendo definir um valor máximo para cada transação quando autoriza o consentimento de cobrança. “Essa funcionalidade é uma camada adicional de segurança, garantindo que o débito automático ocorra somente dentro dos limites aprovados pelo usuário”, diz Germer.

A solução suporta múltiplos modelos de cobrança recorrente, organizados em quatro jornadas:

Assinatura com valor fixo (ex: mensalidade de streaming);
Assinatura com valor variável (ex: contas de consumo);
Assinatura com periodicidade variável (ex: cobrança por uso);
Assinatura sem periodicidade (ex: cobrança após um serviço prestado).
Posso cancelar as transações?
Segundo o BC, autorizado o Pix Automático, o consumidor pode consultar e cancelar as autorizações e os débitos agendados, escolher receber ou não as notificações de agendamento dos pagamentos, verificar o histórico de todas as suas autorizações e gerenciar o limite exclusivo para suas transações Pix Automático. A autarquia ressalta que o pagamento por Pix Automático não afeta o limite Pix disponível para outras transações.

Além disso, caso algum problema no uso do Pix Automático aconteça, o BC diz que é possível usar o ​Mecanismo Especial de Devolução (MED)​, através do banco onde se tem conta.

E se não tiver saldo suficiente em conta no momento do débito?
Duas tentativas de cobrança são feitas no dia do vencimento. Caso não haja saldo na conta, três novas tentativas posteriores ocorrem, conforme regras definida pelo Banco Central. Se o pagamento ocorrer com atraso, os juros e multas são cobrados no pagamento seguinte. Esse juros ou multa estará previsto no contrato do consumidor com a empresa.

Se nenhuma das tentativas da empresa de debitar o valor da conta com o Pix Automático der certo, o consumidor ficará inadimplente e deverá negociar diretamente com a empresa.

De acordo com o BC, o consumidor também pode optar ou não por usar linha de crédito para os pagamentos, caso não tenha saldo disponível no dia do pagamento.

Tenho uma empresa. Como ofertar o Pix Automático para os meus clientes?
Apenas empresas idôneas e com CNPJ ativo há pelo menos seis meses poderão ofertar o Pix Automático como forma de pagamento, de acordo com a autarquia. A medida é para combater fraudes na nova ferramenta.

Para oferecer o modelo de pagamento, de acordo com o BC, o interessado deve procurar a instituição onde a sua empresa possui conta ou uma instituição que ofereça serviço de iniciação de pagamentos. Depois, é preciso verificar o que é necessário para implementar o meio de pagamento e escolher como o Pix Automático será oferecido aos clientes, a partir de parâmetros de:

Recorrência — semanal, mensal, entre outros;
Valor — se é fixo ou variável;
Possibilidade de retentativas para cobrança após o vencimento.
Depois, é só receber a permissão dos seus clientes para cobrar os pagamentos com o Pix Automático.

Fonte: valorinveste

As instituições financeiras devem disponibilizar o PIX por aproximação aos seus clientes a partir desta sexta-feira (28), conforme regulação do Banco Central.

Essa modalidade permite que os clientes paguem contas com o PIX apenas aproximando o celular da máquina do lojista, como é feito com cartões de crédito e débito.

Além disso, o PIX poderá ser incluído em carteiras digitais, como Apple Pay, Samsung Pay e Carteira do Google. Dessa forma, o cliente não precisa acessar o aplicativo do banco para fazer pagamentos.

As carteiras digitais precisam precisam pedir autorização ao BC para intermediar o pagamento com o PIX por aproximação. Por enquanto, só o Google está autorizado.

Como vai funcionar o PIX por aproximação
A ideia do PIX por aproximação é que seja uma forma de pagamento mais simples e rápida que o PIX por QR Code.

?Hoje, com o QR Code, o comerciante gera um código e o cliente precisa entrar no aplicativo do banco, ir até a área de PIX, selecionar a opção de “QR Code”, ler o código e aceitar a transação.
Já com o PIX por aproximação, basta ir ao aplicativo do banco, selecionar a opção e aproximar o celular do aparelho. O processo pode variar um pouco de acordo com a instituição financeira.

As transações nesse modelo terão limite padronizado de R$ 500, mas o cliente poderá alterar o valor máximo por transação ou por dia.

Fonte: G1

As instituições financeiras devem disponibilizar o PIX por aproximação aos seus clientes a partir da próxima sexta-feira (28), conforme regulação do Banco Central.

Essa modalidade permite que os clientes paguem contas com o PIX apenas aproximando o celular da máquina do lojista, como é feito com cartões de crédito e débito.

Além disso, o PIX poderá ser incluído em carteiras digitais, como Apple Pay, Samsung Pay e Carteira do Google. Dessa forma, o cliente não precisa acessar o aplicativo do banco para fazer pagamentos.

As carteiras digitais precisam precisam pedir autorização ao BC para intermediar o pagamento com o PIX por aproximação. Por enquanto, só o Google está autorizado.

Como vai funcionar o PIX por aproximação
A ideia do PIX por aproximação é que seja uma forma de pagamento mais simples e rápida que o PIX por QR Code.

?Hoje, com o QR Code, o comerciante gera um código e o cliente precisa entrar no aplicativo do banco, ir até a área de PIX, selecionar a opção de “QR Code”, ler o código e aceitar a transação.
Já com o PIX por aproximação, basta ir ao aplicativo do banco, selecionar a opção e aproximar o celular do aparelho. O processo pode variar um pouco de acordo com a instituição financeira.

As transações nesse modelo terão limite padronizado de R$ 500, mas o cliente poderá alterar o valor máximo por transação ou por dia.

Fonte: OGLOBO