Um ataque hacker à empresa brasileira de tecnologia C&M Software afetou a operação de instituições financeiras conectadas ao Pix e pode ter causado o desvio de até R$ 800 milhões, segundo estimativas preliminares da imprensa. A empresa é uma das responsáveis por conectar bancos ao Sistema de Pagamentos Brasileiro (SPB), atuando como intermediária entre instituições financeiras e o Banco Central.
Segundo apuração de veículos como O Globo e Valor Econômico, pelo menos seis instituições teriam sido atingidas — entre elas o BMP, o Banco Paulista e a Credsystem. As movimentações indevidas ocorreram em contas de reserva mantidas no próprio Banco Central, usadas exclusivamente para liquidação interbancária. Ou seja, não houve impacto direto nas contas de clientes.
A C&M Software informou que o ataque hacker ocorreu por meio do uso fraudulento de credenciais (como login e senha) de seus clientes. Criminosos conseguiram acessar os sistemas da empresa e, a partir daí, realizar transações indevidas em nome das instituições conectadas.
Linha do tempo do ataque hacker
- 1º de julho (terça-feira): Criminosos acessam indevidamente o sistema da C&M usando credenciais de clientes.
- 2 de julho (quarta-feira): A empresa comunica o ataque ao Banco Central, que determina a suspensão imediata das operações da empresa.
- 3 de julho (quinta-feira): O Banco Central autoriza a retomada parcial das atividades da C&M, com restrições de horário (dias úteis, das 6h30 às 18h30) e exigência de reforço no controle de fraudes.
- Estimativas não oficiais apontam que foram desviados entre R$ 400 milhões e R$ 800 milhões, valores ainda não confirmados por autoridades.
O Banco Central afirmou que o restabelecimento completo do serviço está condicionado a autorização expressa das instituições impactadas, além da implementação de medidas adicionais de segurança, como limitação de valores e reforço no monitoramento de fraudes.
Esse tipo de invasão, conhecido como “supply chain attack”, acontece quando hackers exploram a vulnerabilidade de um fornecedor de tecnologia confiável para comprometer todo o ecossistema financeiro. Com o avanço da digitalização, a segurança cibernética tornou-se uma prioridade global, levando reguladores — como os da Europa com a regulamentação DORA — a exigir das instituições financeiras não apenas medidas preventivas, mas também capacidades robustas de resposta e recuperação diante de ataques cibernéticos. Fernando Galdino, diretor de portfólio da SEK (Fundo Pátria), vê no episódio um alerta para a urgência de amadurecer a resiliência cibernética no Brasil:
“O incidente cibernético desta semana pode se tornar um divisor de águas para o país no que diz respeito à regulamentação e à resiliência operacional. A Europa já avança nesse sentido com o DORA, exigindo das instituições financeiras não só a prevenção, mas a capacidade comprovada de resposta e recuperação diante de ataques.”
O que dizem as instituições
- A Polícia Federal e a Polícia Civil de São Paulo abriram investigações. A PF instaurou inquérito e confirmou à imprensa que já conduz diligências, enquanto a Polícia Civil atua por meio da delegacia de crimes cibernéticos. As investigações seguem sob sigilo.
- O Banco BMP, um dos atingidos, declarou que os valores acessados estavam em contas de liquidação — mantidas no Banco Central e usadas apenas entre instituições financeiras — e que não houve prejuízo a clientes. A empresa diz ter garantias para cobrir integralmente os valores.
- O Banco Paulista também foi impactado, mas afirmou que a falha foi externa e não gerou movimentações indevidas nem comprometeu dados sensíveis.
- Já a C&M Software afirmou, em nota, que adotou imediatamente seus protocolos de segurança, reforçou auditorias internas e segue colaborando com o Banco Central e as autoridades policiais.
Em relação ao cenário mais amplo da segurança do sistema financeiro brasileiro, o CEO da Lerian, Fred Amaral, reforça que: “O Pix prova nossa capacidade, mas também nossa responsabilidade. Este incidente é a chance de evoluir, não retroceder.”
Rafael Dantas, Diretor de Operações da TLD, afirma que “o caso da C&M não se tratou apenas de uma violação de dados, mas de uma fraude sofisticada, conduzida por meio do uso ilegítimo de acessos legítimos, uma ameaça silenciosa e estratégica que desafia os modelos tradicionais de defesa.”
O caso expõe a vulnerabilidade dos intermediários tecnológicos do sistema financeiro e deve acelerar discussões sobre resiliência operacional no Brasil frente ao risco de novos episódios de ataque hacker.
Notícias Relacionadas
