A C&M Software, empresa de tecnologia que conecta bancos, fintechs e demais instituições ao Sistema de Pagamentos Brasileiro (SPB), foi alvo de um sofisticado ataque hacker na terça-feira, 1º. Os criminosos usaram credenciais vazadas para invadir as “contas reservas” mantidas pelos bancos no Banco Central e desviar valores que seriam liquidados via Pix
Escala do prejuízo e impacto operacional
Estima-se que o ataque desviou entre R$ 400 milhões e R$ 1 bilhão, valor que pode alcançar até R$ 3 bilhões, segundo fontes do UOL e Brazil Journal
Cerca de 6 a 8 instituições financeiras menores foram afetadas, incluindo BMP, Banco Paulista e Credsystem. Nenhum grande banco foi atingido
O Banco Central solicitou o desligamento imediato do acesso da C&M ao sistema, o que causou interrupções temporárias no Pix para essas instituições
Como ocorreu
Os hackers adquiriram credenciais de clientes da C&M, provavelmente por meio de vazamento.
Essas credenciais permitiram a emissão de ordens de transferência legítimas, que driblaram as salvaguardas do BC
Já nos momentos seguintes, foram realizadas PIX milionários, como um golpe noturno de R$ 18 milhões num único movimento
🔍 Reações e investigações
A C&M Software declarou ser “vítima direta”, garantiu que seus sistemas críticos permaneceram íntegros e que segue cooperando com as investigações do Banco Central, Polícia Federal e Polícia Civil de SP
O Banco Central informou que sua infraestrutura não foi comprometida e reforçou a exigência de revisão dos protocolos de segurança da C&M
Especialistas em cibersegurança alertam para essa ser uma falta crítica de proteção nos sistemas de mensageria, sinalizando a necessidade urgente de reforço na segurança digital nas interfaces com o SPB
🎯 Próximos passos
A PF e o Banco Central seguem investigando para rastrear o destino dos fundos.
Instituições envolvidas reforçam que recursos de clientes comuns não foram afetados, pois o desvio ocorreu em contas reservas, usadas apenas para liquidação interbancária.
O episódio já é considerado o maior ataque hacker à infraestrutura bancária brasileira, com potencial para reformular os controles de segurança no sistema nacional de pagamentos.
