DE TIJD
Jose Roberto de Toledo en Thais Bilenky
Een hackeraanval op het systeem van softwarebedrijf C&M, dat financiële instellingen en de Centrale Bank met elkaar verbond in realtime betalingen, legde kwetsbaarheden bloot in een bedrijfsmodel dat in de schaduw van het financiële systeem opereert: de zogenaamde "onzichtbare banken". De zaak betrof BMP, dat zichzelf profileert als "de bank achter de fintech-hausse".
De Deic (Ministerie van Strafrechtelijk Onderzoek) arresteerde vrijdag een van de verdachten voor de aanval, nadat de podcast was opgenomen. De inbraak vond plaats via C&M Software, een 25 jaar oud technologiebedrijf dat geaccrediteerd is door de Braziliaanse Centrale Bank en de Amerikaanse Federal Reserve. "Het is een zeer gerenommeerd bedrijf", benadrukt Toledo. De hackers gebruikten gestolen inloggegevens om duizenden transacties uit te voeren en geld over te boeken van een rekening bij deze "onzichtbare" bank naar andere rekeningen die de criminele organisatie onder controle had. Het verlies wordt geschat op honderden miljoenen real, een bedrag dat de BMP naar eigen zeggen heeft gedekt zonder het door te geven aan klanten. De Centrale Bank reageerde door het systeem van C&M Software tijdelijk uit te schakelen, waardoor de Pix van verschillende fintechs offline raakte.
Om te begrijpen hoe dit mogelijk was, is het noodzakelijk om te begrijpen hoe fintechs in Brazilië werken. "De klant denkt dat hij een rekening heeft, en dat is zijn rekening, maar wat hij op zijn app of mobiele telefoon ziet, is gewoon een zogenaamde neprekening", legt Toledo uit. In werkelijkheid wordt het geld vermengd met dat van alle andere klanten op één rekening, hetzij op naam van de fintech, hetzij op naam van de bank.
uol
