Um ataque hacker sem precedentes à empresa C&M Software já está sendo chamado por especialistas de bastidores de “roubo do século”. A ofensiva cibernética atingiu diretamente a infraestrutura que conecta bancos e fintechs ao Sistema de Pagamentos Brasileiro (SPB) e ao ambiente de liquidação do Pix, com estimativas que apontam para o desvio de até R$ 1 bilhão.
Fundada em 1992, a C&M Software é uma provedora de serviços de mensageria financeira que permite que instituições sem conexão direta com o Banco Central consigam realizar operações no SPB, incluindo transações via Pix. Essa posição estratégica a tornou um alvo vulnerável, mas altamente lucrativo.
Segundo relatos confirmados por autoridades e pela própria empresa, hackers invadiram os sistemas da C&M na segunda-feira (1º) e utilizaram credenciais de clientes para realizar transferências fraudulentas. Os alvos foram contas reservas de ao menos seis instituições financeiras junto ao Banco Central.
Como o golpe funcionou
A falha explorada permitiu que os criminosos acessassem essas contas e movimentassem centenas de milhões de reais por meio de transferências em cadeia pelo Pix. Estima-se que só no primeiro dia do ataque, cerca de R$ 400 milhões tenham sido desviados.
Embora parte do dinheiro tenha sido recuperado graças ao Mecanismo Especial de Devolução (MED) do Pix, especialistas criticam a ausência de limites automáticos de volume de transações no sistema operado diretamente pelo Banco Central — ao contrário do que é exigido dos bancos privados.
“Como é possível movimentar tamanha quantia sem que o sistema detecte irregularidades?”, questionou uma fonte do setor financeiro.
Reação das instituições
O Banco Central confirmou que a C&M Software foi vítima de um ataque e ordenou o bloqueio imediato do acesso da empresa à sua infraestrutura. As instituições afetadas, como o Banco BMP e o Banco Paulista, informaram que nenhum cliente final teve recursos comprometidos e que o problema se concentrou nas contas operacionais junto ao BC.
O Banco BMP, por exemplo, declarou que possui colaterais suficientes para absorver as perdas, e que sua operação segue sem impactos comerciais. O Banco Paulista também ressaltou que não houve transações indevidas ou vazamento de dados.
A Polícia Federal deve se juntar às investigações nos próximos dias, ao lado do Banco Central e da Polícia Civil de São Paulo. A C&M afirmou que está cooperando com as autoridades, mas se absteve de dar detalhes por conta do sigilo legal.
Em nota, a empresa declarou que seus sistemas críticos permanecem intactos e que todos os protocolos de segurança foram ativados após a detecção do ataque.
