No momento, você está visualizando “Roubo do século” já está sendo investigado pela Polícia Federal

“Roubo do século” já está sendo investigado pela Polícia Federal

Um ataque cibernético de grandes proporções expôs vulnerabilidades do sistema financeiro brasileiro e já vem sendo considerado, nos bastidores, como o “roubo do século”. O caso, revelado pelo Brazil Journal e detalhado em reportagem assinada por Fábio Matos no portal Metrópoles, teve como alvo a C&M Software, empresa que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix.

Fundada em 1992, a C&M é uma das principais fornecedoras de serviços de mensageria para bancos e fintechs que não possuem conexão direta com o Banco Central. A companhia confirmou que foi vítima de um ataque hacker e, segundo estimativas iniciais, o valor desviado pode ter chegado à cifra de R$ 1 bilhão. Ainda não há confirmação oficial sobre o montante exato, mas fontes indicam que os criminosos tiveram acesso a múltiplas contas e iniciaram transferências em cadeia por meio do sistema do Pix.

O que se sabe até agora

Entre as instituições mais atingidas está a BMP, provedora de soluções de banking as a service (BaaS), em operação desde 1999. Em nota, a empresa afirmou que o ataque afetou exclusivamente os recursos da sua conta de reserva no Banco Central, sem impacto sobre os clientes finais. “A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou a seus parceiros comerciais”, declarou a BMP.

O Banco Central também se manifestou. Em nota oficial, informou que a C&M comunicou o incidente e que, como medida de segurança, foi determinado o desligamento do acesso das instituições às infraestruturas operadas pela empresa. A autarquia ressaltou ainda que os sistemas próprios do BC seguem íntegros e não foram invadidos.

Segundo relatos iniciais, os hackers usaram credenciais legítimas de clientes da C&M para acessar os sistemas de mensageria e efetuar transferências não autorizadas. A empresa reconheceu a violação: “A C&M foi vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços”. A companhia disse que, por orientação jurídica e respeito ao sigilo das apurações, não comentará os detalhes do caso, mas garantiu que “todos os seus sistemas críticos seguem íntegros e operacionais” e que as medidas de segurança foram executadas conforme protocolo.

Investigação federal

A Polícia Federal já iniciou os procedimentos para investigar o ataque, ao lado da Polícia Civil de São Paulo, que inicialmente foi acionada pela própria C&M. Com o envolvimento de múltiplas instituições financeiras e um possível rombo bilionário, a expectativa é de que a apuração ganhe escala nacional, com prioridade entre as ações de combate ao cibercrime.

A complexidade da fraude, que explorou um elo sensível entre instituições privadas e o Banco Central, reacende o debate sobre a segurança cibernética do sistema de pagamentos instantâneos brasileiro. A utilização do Pix como canal de execução das transferências torna a liquidez das operações extremamente veloz, o que pode dificultar a recuperação dos valores desviados.

Mesmo sem a divulgação oficial da lista completa das instituições afetadas, estimativas iniciais sugerem que bancos e fintechs impactados teriam sofrido prejuízos médios acima de R$ 50 milhões. Para analistas do setor financeiro, o incidente representa um alerta severo sobre os riscos da terceirização de infraestrutura crítica e a necessidade de mecanismos de detecção e bloqueio em tempo real, especialmente em um ambiente que opera 24 horas por dia.

Enquanto isso, a C&M segue colaborando com as autoridades, e o caso avança como uma das maiores investigações de crime cibernético da história recente do país. A depender dos desdobramentos, poderá redefinir padrões de segurança no ecossistema financeiro nacional.