Um ataque cibernético de grandes proporções expôs vulnerabilidades do sistema financeiro brasileiro e já vem sendo considerado, nos bastidores, como o “roubo do século”. O caso, revelado pelo Brazil Journal e detalhado em reportagem assinada por Fábio Matos no portal Metrópoles, teve como alvo a C&M Software, empresa que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix.

Fundada em 1992, a C&M é uma das principais fornecedoras de serviços de mensageria para bancos e fintechs que não possuem conexão direta com o Banco Central. A companhia confirmou que foi vítima de um ataque hacker e, segundo estimativas iniciais, o valor desviado pode ter chegado à cifra de R$ 1 bilhão. Ainda não há confirmação oficial sobre o montante exato, mas fontes indicam que os criminosos tiveram acesso a múltiplas contas e iniciaram transferências em cadeia por meio do sistema do Pix.

O que se sabe até agora

Entre as instituições mais atingidas está a BMP, provedora de soluções de banking as a service (BaaS), em operação desde 1999. Em nota, a empresa afirmou que o ataque afetou exclusivamente os recursos da sua conta de reserva no Banco Central, sem impacto sobre os clientes finais. “A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou a seus parceiros comerciais”, declarou a BMP.

O Banco Central também se manifestou. Em nota oficial, informou que a C&M comunicou o incidente e que, como medida de segurança, foi determinado o desligamento do acesso das instituições às infraestruturas operadas pela empresa. A autarquia ressaltou ainda que os sistemas próprios do BC seguem íntegros e não foram invadidos.

Segundo relatos iniciais, os hackers usaram credenciais legítimas de clientes da C&M para acessar os sistemas de mensageria e efetuar transferências não autorizadas. A empresa reconheceu a violação: “A C&M foi vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços”. A companhia disse que, por orientação jurídica e respeito ao sigilo das apurações, não comentará os detalhes do caso, mas garantiu que “todos os seus sistemas críticos seguem íntegros e operacionais” e que as medidas de segurança foram executadas conforme protocolo.

Investigação federal

A Polícia Federal já iniciou os procedimentos para investigar o ataque, ao lado da Polícia Civil de São Paulo, que inicialmente foi acionada pela própria C&M. Com o envolvimento de múltiplas instituições financeiras e um possível rombo bilionário, a expectativa é de que a apuração ganhe escala nacional, com prioridade entre as ações de combate ao cibercrime.

A complexidade da fraude, que explorou um elo sensível entre instituições privadas e o Banco Central, reacende o debate sobre a segurança cibernética do sistema de pagamentos instantâneos brasileiro. A utilização do Pix como canal de execução das transferências torna a liquidez das operações extremamente veloz, o que pode dificultar a recuperação dos valores desviados.

Mesmo sem a divulgação oficial da lista completa das instituições afetadas, estimativas iniciais sugerem que bancos e fintechs impactados teriam sofrido prejuízos médios acima de R$ 50 milhões. Para analistas do setor financeiro, o incidente representa um alerta severo sobre os riscos da terceirização de infraestrutura crítica e a necessidade de mecanismos de detecção e bloqueio em tempo real, especialmente em um ambiente que opera 24 horas por dia.

Enquanto isso, a C&M segue colaborando com as autoridades, e o caso avança como uma das maiores investigações de crime cibernético da história recente do país. A depender dos desdobramentos, poderá redefinir padrões de segurança no ecossistema financeiro nacional.