Um ataque hacker contra a empresa C&M Software comprometeu, na segunda-feira (1º), o acesso a contas reservas mantidas por ao menos seis instituições financeiras no Banco Central. A informação foi confirmada pelo próprio BC, que determinou o bloqueio imediato da conexão da prestadora à sua infraestrutura, usada para liquidação interbancária via Pix e outros sistemas do Sistema de Pagamentos Brasileiro (SPB).
A C&M Software atua como intermediária tecnológica entre instituições financeiras de menor porte — que não possuem conectividade própria — e os sistemas de liquidação do Banco Central. Segundo apurações preliminares, os criminosos teriam utilizado credenciais indevidamente acessadas para tentar invadir os sistemas da empresa e redirecionar valores das contas reservas. O valor total do prejuízo ainda não foi confirmado, mas estimativas extraoficiais apontam para cifras que variam entre R$ 400 milhões e R$ 1 bilhão.
A empresa informou que seus sistemas críticos seguem íntegros e operacionais, e que todos os protocolos de segurança foram acionados assim que o incidente foi detectado. As investigações já estão em curso, com envolvimento da Polícia Civil de São Paulo e expectativa de atuação da Polícia Federal, dada a relevância dos sistemas atingidos.
Instituições afetadas e medidas tomadas
Uma das instituições afetadas, a BMP, confirmou ter sido alvo do acesso não autorizado. Em nota, a empresa destacou que os recursos comprometidos estavam restritos às contas reservas no Banco Central e que nenhum cliente foi afetado. A BMP afirmou também possuir garantias suficientes para cobrir integralmente os valores impactados, sem prejuízos à sua operação ou aos seus parceiros comerciais.
O Banco Central classificou a C&M como prestadora de serviços para instituições “sem infraestrutura de conectividade própria”, em especial fintechs e bancos digitais que dependem de serviços terceirizados para acessar os sistemas de liquidação. O episódio expõe vulnerabilidades do ecossistema financeiro brasileiro e levanta discussões sobre os protocolos de segurança adotados por prestadores de serviços críticos à operação do sistema financeiro.
Impacto no Pix e desdobramentos
Apesar da gravidade do ataque, não houve interrupção ou instabilidade no funcionamento do Pix, sistema de pagamentos instantâneos desenvolvido e operado pelo Banco Central. Lançado em 2020, o Pix tornou-se o meio de pagamento mais utilizado no Brasil, movimentando diariamente bilhões de reais entre pessoas físicas, empresas e entes públicos.
Ainda não há informações oficiais sobre o número total de instituições atingidas, nem detalhes sobre os valores exatos desviados. O Banco Central, por sua vez, mantém acompanhamento contínuo do caso e reforçou, em nota, que os mecanismos de controle e monitoramento seguem em operação.
Especialistas em segurança da informação alertam que ataques cibernéticos direcionados ao setor financeiro tendem a se intensificar nos próximos anos, exigindo investimentos constantes em tecnologia, governança e protocolos preventivos.
