Um ataque hacker sem precedentes atingiu a C&M Software, prestadora de serviços de infraestrutura para bancos, e desviou centenas de milhões de reais de contas de liquidação ligadas ao Banco Central.
Com estimativas de prejuízo que vão de R$ 800 milhões a mais de R$ 3 bilhões, o caso é considerado o maior ataque cibernético já registrado contra o sistema bancário brasileiro.
A invasão ocorreu entre a madrugada de domingo (30) e segunda-feira (1º), quando transações não autorizadas foram disparadas a partir das contas reservas das instituições. Esses “cofres digitais” são usados para liquidação interbancária, sem afetar diretamente os correntistas. Só da empresa BMP, especializada em Banking as a Service, teriam sido subtraídos R$ 400 milhões em poucos minutos. Ao menos oito instituições foram atingidas.
Os criminosos exploraram credenciais vazadas de clientes da C&M para acessar APIs que integram bancos menores e fintechs ao Pix e ao Sistema de Pagamentos Brasileiro (SPB). A Polícia Federal investiga como essas credenciais foram obtidas e tenta rastrear os fluxos pulverizados em dezenas de transferências rápidas via Pix.
Como resposta emergencial, o Banco Central determinou o desligamento imediato da infraestrutura da C&M, o que interrompeu temporariamente o Pix em 293 instituições que usavam a prestadora como intermediária. Em nota, o BC afirmou que a C&M notificou o ataque e está colaborando com as investigações. O Banco Paulista confirmou interrupção no Pix, mas disse não ter havido vazamento de dados de clientes.
A C&M declarou ter sido “vítima direta” do ataque. “O ataque incluiu o uso fraudulento de credenciais de clientes. Estamos cooperando com a Polícia Federal, o Banco Central e a Polícia Civil de São Paulo”, disse o diretor comercial Kamal Zogheib.
Especialistas alertam que o caso escancara fragilidades graves na arquitetura digital que conecta bancos e fintechs ao Banco Central. Autoridades já discutem revisão urgente de protocolos de segurança e supervisão sobre empresas terceirizadas (PSTIs), que se tornaram elo fundamental na integração ao Pix.
O episódio, além de impactar a confiança no sistema, gerou alerta máximo entre reguladores, bancos e empresas de tecnologia financeira, que agora precisam provar ao público que conseguem proteger os cofres digitais do país de novos ataques cada vez mais sofisticados.
