Um dos maiores ataques cibernéticos já registrados no setor financeiro brasileiro atingiu a C&M Software, empresa que presta serviços de integração entre instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix. Segundo a PF investiga, o prejuízo já confirmado supera R$ 800 milhões e pode chegar a R$ 1 bilhão, de acordo com estimativas do mercado.
A C&M confirmou a invasão em nota divulgada na noite da última terça-feira, 1º, informando que a ação criminosa envolveu o uso indevido de credenciais de clientes e que medidas previstas nos seus protocolos de segurança foram executadas. O Banco Central, a Polícia Federal e a Polícia Civil de São Paulo investigam o caso.
Segundo o Banco Central, o ataque ocorreu exclusivamente na infraestrutura da C&M e não afetou diretamente o sistema financeiro ou contas de clientes finais. Como medida de contenção, a autarquia determinou o desligamento do acesso das instituições financeiras às infraestruturas operadas pela C&M.
A C&M é responsável por interligar instituições ao SPB, operando como ponte para fintechs e bancos que não possuem conexão própria com o sistema. Pelo menos seis instituições financeiras foram impactadas, entre elas a fintech BMP e a Credsystem.
Em nota, a BMP esclareceu que o ataque atingiu apenas as chamadas contas-reserva, utilizadas para liquidação interbancária diretamente com o Banco Central, e reafirmou que nenhum recurso de clientes foi comprometido. “A BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações”, destacou a instituição.
Criminosos miraram contas-reserva e usaram criptoativos para ocultar rastros
Fontes do setor de segurança apontam que os hackers utilizaram a estrutura da C&M como porta de entrada para acessar as contas-reserva das instituições envolvidas. As primeiras movimentações suspeitas teriam sido identificadas pela SmartPay, empresa dona da carteira de autocustódia de criptoativos Truther, ainda na madrugada de segunda-feira, 30. A plataforma detectou compras incomuns de bitcoin e da stablecoin tether (moeda pareada ao dólar) e bloqueou os valores envolvidos.
De acordo com Rocelo Lopes, CEO da SmartPay, esse pode ter sido o primeiro sinal do ataque: “Elevamos nossos filtros de validação e conseguimos reter o dinheiro. As compras estavam muito acima do normal, feitas de forma automatizada, em poucos minutos”.
A conversão de valores roubados em criptoativos é uma prática comum em grandes ataques digitais. “Essas transações permitem anonimato e alta velocidade na movimentação de grandes quantias”, explicou Paulo Trindade, gerente de segurança cibernética da ISH Tecnologia. “Fontes sugerem fortemente que os valores desviados foram destinados a contas de criptoativos.”
Alerta ao sistema financeiro
Especialistas classificam o episódio como um marco preocupante para a segurança cibernética no sistema financeiro nacional. “Foi um ataque significativo e, provavelmente, parte de um esquema criminoso sofisticado”, avaliou Paulo Suzart, consultor de compliance e cibersegurança. “É um alerta severo para bancos, fintechs e empresas de tecnologia de que segurança digital precisa ser prioridade estratégica, discutida nos conselhos de administração e nos planos de continuidade de negócios.”
A investigação segue em curso e ainda não há informações sobre os autores do ataque. O Banco Central segue monitorando os impactos e colaborando com as autoridades para identificar os responsáveis e minimizar os efeitos no sistema financeiro.
