Criminosos usaram credenciais de clientes para invadir sistemas conectados ao Pix; Banco Central e Polícia Federal já investigam o caso.
A C&M Software, empresa especializada em soluções de conectividade para instituições financeiras, foi alvo de um ataque hacker de grandes proporções nesta terça-feira (1º). Segundo a companhia, os criminosos utilizaram credenciais de clientes para acessar sistemas e serviços operados por ela — um movimento que, de acordo com estimativas iniciais, pode ter causado prejuízos bilionários ao ecossistema financeiro.
Credenciais comprometidas e acesso ao coração do Pix
A C&M é uma das responsáveis pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix, sistema criado pelo Banco Central e hoje indispensável para milhões de brasileiros.
Ainda que a empresa tenha evitado divulgar detalhes, fontes do Brazil Journal indicam que os hackers podem ter causado um rombo de até R$ 1 bilhão, com pelo menos R$ 400 milhões desviados em um primeiro momento. O ataque, portanto, levanta sérias preocupações sobre a segurança das conexões terceirizadas entre bancos e o sistema central do BC.
BMP é uma das mais afetadas
Uma das instituições mais impactadas seria a BMP, fintech que oferece serviços de banking as a service. Com R$ 804 milhões de receita bruta em 2023 e um lucro líquido de R$ 231 milhões, a BMP teve sua conta reserva no Banco Central comprometida.
Entretanto, em nota oficial, a fintech afirmou que nenhum cliente final foi prejudicado, já que os valores acessados estavam restritos às contas de liquidação interbancária — usadas exclusivamente para movimentações entre instituições.
“Já adotamos todas as medidas operacionais e legais cabíveis. Temos colaterais suficientes para cobrir o valor impactado, sem prejuízo à operação nem aos nossos parceiros”, informou a BMP.
O que dizem as autoridades
O Banco Central confirmou que a C&M notificou o incidente e, em resposta, determinou o desligamento imediato das conexões operadas pela empresa. A medida visa conter novos acessos indevidos e preservar a estabilidade do sistema financeiro.
Além disso, a Polícia Federal instaurou um inquérito para investigar o ataque cibernético. Já a Polícia Civil de São Paulo também acompanha o caso, em colaboração com o próprio BC e com a equipe jurídica da C&M.
“A empresa foi vítima direta da ação criminosa. Por orientação jurídica, não comentaremos detalhes, mas nossos sistemas críticos seguem íntegros e todas as medidas de segurança foram executadas”, afirmou a C&M em nota.
Perdas podem ultrapassar R$ 50 milhões por instituição
Ainda não há confirmação oficial sobre quais bancos ou fintechs foram atingidos, mas fontes do setor afirmam que cada uma das instituições impactadas pode ter sofrido perdas superiores a R$ 50 milhões.
O caso acende um alerta para a vulnerabilidade das integrações terceirizadas com o sistema do Banco Central, especialmente no ambiente do Pix, que se tornou a espinha dorsal das transações no país. Por isso, o ataque deve impulsionar um debate urgente sobre governança, responsabilidade compartilhada e reforço na cibersegurança de prestadoras homologadas pelo BC.
Leia mais
- Golpistas pagam ao Google para disparar e-mails patrocinados com armadilhas em nome dos Correios
- Ataque hacker atinge infraestrutura ligada ao Banco Central; PF vai abrir inquérito e C&M Software é investigada
