Maior ataque cibernético da história do sistema bancário brasileiro expõe falhas na conexão ao Pix e SPB

Invasão à prestadora de serviços C&M Software pode ter causado prejuízo superior a R$ 3 bilhões, segundo fontes da investigação

Um ataque cibernético de proporções inéditas atingiu a C&M Software, empresa que opera como elo tecnológico entre instituições financeiras e o Banco Central, provocando o desvio de valores que podem ultrapassar R$ 3 bilhões. O incidente, que já é considerado o maior da história do sistema bancário brasileiro, escancarou fragilidades estruturais na rede digital que sustenta o Pix e o Sistema de Pagamentos Brasileiro (SPB).

A ofensiva teve início entre a noite de domingo (29) e a madrugada de segunda-feira (30), quando transações suspeitas foram registradas em contas de liquidação de diversas instituições financeiras ligadas à C&M. O ataque teria sido executado por meio do uso de credenciais vazadas de clientes da empresa, que atua como Provedora de Serviços de Tecnologia da Informação (PSTI), facilitando a integração de bancos e fintechs com a infraestrutura do Banco Central.

Estima-se que o prejuízo mínimo gire em torno de R$ 800 milhões, com destaque para a empresa BMP, especializada em Banking as a Service, que teve cerca de R$ 400 milhões subtraídos em poucos minutos. No total, pelo menos oito instituições financeiras foram afetadas. Os criminosos usaram os acessos para disparar milhares de transferências via Pix diretamente das contas reservas dos bancos, os chamados “cofres digitais” utilizados para liquidação interbancária. As contas de clientes finais, por ora, não foram atingidas.

A resposta do Banco Central foi determinar o desligamento da infraestrutura da C&M, o que suspendeu temporariamente o funcionamento do Pix em 293 instituições conectadas por meio da empresa. A BMP confirmou a movimentação não autorizada em sua conta de liquidação e reiterou que nenhum correntista foi prejudicado. Já o Banco Paulista comunicou apenas uma interrupção pontual no serviço de pagamentos, sem qualquer vazamento de dados.

Em nota oficial, a C&M afirmou ter sido “vítima direta” da ação criminosa e que seus sistemas críticos continuam operando normalmente. “O ataque incluiu o uso fraudulento de credenciais de clientes. Estamos colaborando ativamente com a Polícia Federal, o Banco Central e a Polícia Civil de São Paulo”, disse o diretor comercial da empresa, Kamal Zogheib.

A Polícia Federal conduz a investigação e analisa o possível envolvimento de quadrilhas especializadas em crimes cibernéticos financeiros. As autoridades tentam rastrear o destino dos recursos desviados, que teriam sido fragmentados em centenas de transações realizadas em alta velocidade, dificultando o bloqueio.

Ainda não há confirmação oficial sobre o número exato de instituições afetadas, nem sobre o total de recursos desviados. O caso, no entanto, acendeu um sinal vermelho entre reguladores e o setor financeiro. Uma revisão dos protocolos de segurança e da supervisão sobre os PSTIs já está sendo considerada, diante da crescente dependência dessas empresas na arquitetura digital do sistema bancário brasileiro.