Maior ataque hacker da história do sistema financeiro brasileiro desvia até R$ 1 bilhão e afeta Pix

Maior ataque hacker da história do sistema financeiro brasileiro desvia até R$ 1 bilhão e afeta Pix

Um ataque hacker de proporções inéditas atingiu na tarde de terça-feira (1º) a C&M Software, empresa que presta serviços tecnológicos essenciais para o funcionamento do Sistema de Pagamentos Brasileiro (SPB), incluindo a interligação das instituições financeiras ao Banco Central e o ambiente de liquidação do Pix. A invasão resultou no acesso indevido e no desvio estimado entre R$ 400 milhões e R$ 1 bilhão de recursos mantidos em contas reserva de pelo menos seis instituições financeiras, configurando o maior ataque já registrado contra o sistema financeiro nacional.

A C&M Software é responsável por conectar bancos, cooperativas e instituições de pagamento que não possuem meios próprios de acesso ao SPB. O ataque explorou vulnerabilidades na infraestrutura da empresa, com uso indevido de credenciais para acessar de forma fraudulenta as contas reserva — contas especiais mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária e depósito compulsório, sem qualquer relação com as contas correntes dos clientes finais.

Entre as instituições afetadas está a BMP, que confirmou o incidente e garantiu que nenhum cliente teve seus recursos comprometidos. A empresa já adotou todas as medidas legais e operacionais para cobrir integralmente o valor impactado, contando com colaterais suficientes para garantir a estabilidade de suas operações e a segurança dos parceiros comerciais. O Banco Paulista e a Credsystem também foram citados como impactados, tendo o Banco Paulista sofrido interrupções temporárias no serviço Pix, sem movimentações indevidas.

Em resposta ao ataque, o Banco Central determinou o desligamento imediato da C&M Software do ambiente de conexão com as instituições financeiras, bloqueando o acesso da empresa às infraestruturas por ela operadas. Essa medida, embora necessária para conter a ação criminosa, resultou na suspensão temporária do acesso ao Pix para clientes de diversas instituições que dependem da C&M para essa conexão, gerando transtornos e insegurança no mercado.

A Polícia Federal instaurou inquérito para investigar o caso, conduzido pela Diretoria de Repressão a Crimes Cibernéticos em Brasília. O ataque está sendo tratado como um “assalto virtual”, e as autoridades buscam identificar os responsáveis, as técnicas utilizadas e possíveis falhas de segurança tanto na empresa quanto nas instituições financeiras envolvidas.

Em nota oficial, a C&M Software afirmou ser vítima direta da ação criminosa, que utilizou credenciais de clientes para tentar acessar seus sistemas de forma fraudulenta. A empresa ressaltou que todos os seus sistemas críticos permanecem íntegros e operacionais, e que as medidas previstas nos protocolos de segurança foram integralmente executadas. A C&M também reforçou a colaboração ativa com as autoridades, incluindo o Banco Central e a Polícia Civil de São Paulo, nas investigações em andamento.

Especialistas em segurança cibernética destacam que o ataque expõe vulnerabilidades do modelo atual de conexão entre instituições financeiras e o Banco Central, especialmente para bancos e fintechs que dependem de prestadores de serviço terceirizados para acessar o sistema do Pix. O episódio reforça a necessidade urgente de revisão dos protocolos de segurança, maior rigor na gestão de credenciais e investimentos robustos em tecnologias de defesa contra invasões.

O impacto do ataque não se limitou ao desvio milionário. A suspensão do acesso da C&M ao sistema provocou interrupções no funcionamento do Pix para clientes de vários bancos menores e instituições de pagamento, gerando reclamações e preocupação sobre a confiabilidade do sistema de pagamentos instantâneos, que é fundamental para o cotidiano financeiro de milhões de brasileiros.

O Banco Central reiterou que não houve comprometimento dos sistemas próprios da autarquia e que o Pix funciona normalmente para a maioria das instituições diretamente conectadas. O regulador também afirmou estar atuando para punir possíveis falhas e negligências das instituições financeiras e prestadores de serviço envolvidos.

Este episódio evidencia a crescente complexidade e os riscos associados à digitalização do sistema financeiro, que, apesar dos avanços em eficiência e inclusão financeira, demanda constante atualização e fortalecimento das defesas contra crimes cibernéticos.