Um ataque cibernético atingiu a C&M Software, empresa que presta serviços de tecnologia para o sistema financeiro, afetando diretamente seis instituições financeiras brasileiras. A ação criminosa foi confirmada na noite de terça-feira (1º) e é considerada um dos maiores ataques já registrados no setor, com prejuízos estimados entre R$ 800 milhões e R$ 1 bilhão.
A C&M atua como intermediadora entre bancos, fintechs e o Sistema de Pagamentos Brasileiro (SPB), incluindo integrações com o Pix. Segundo comunicado da empresa, os criminosos usaram credenciais de clientes para tentar acessar o sistema de forma fraudulenta.
“As medidas previstas nos protocolos de segurança da C&M foram integralmente executadas diante do ataque”, informou a empresa em nota.
Entre as instituições afetadas estão a BMP e a Credsystem. A BMP afirmou que o ataque se restringiu às contas-reserva no Banco Central, usadas exclusivamente para liquidações interbancárias, sem impacto direto nas contas de clientes. Já a Credsystem confirmou que o serviço de Pix está fora do ar por orientação do BC.
O Banco Central determinou o desligamento imediato do acesso das instituições à infraestrutura operada pela C&M e segue monitorando o caso junto à Polícia Federal e à Polícia Civil de São Paulo, que também atuam na investigação.
Esquema elaborado e uso de criptomoedas
Especialistas em cibersegurança apontam que o ataque foi altamente sofisticado e articulado, com movimentação dos valores para contas de criptomoedas, a fim de dificultar o rastreamento.
“É um alerta severo para bancos, fintechs e empresas de tecnologia. Segurança digital precisa ser assunto estratégico”, afirmou Paulo Suzart, consultor em compliance e cibersegurança.
A empresa SmartPay, controladora da carteira de criptoativos Truther, detectou movimentações atípicas de compra de bitcoin e da stablecoin tether nos primeiros minutos de segunda-feira (30), que podem estar relacionadas ao desvio. Parte dos valores foi retida pela empresa, que informou ter devolvido os recursos às instituições envolvidas.
“Foi o primeiro sinal de alerta. Rastreabilidade em cripto depende de monitoramento em tempo real”, explicou Rocelo Lopes, CEO da SmartPay.
A Truther, que opera via Pix, é uma carteira de autocustódia, o que significa que o próprio usuário controla suas chaves privadas. Embora ofereça mais privacidade, esse modelo também dificulta a recuperação de valores desviados.
Investigações em curso
O caso segue sob investigação das autoridades e reacende o debate sobre vulnerabilidades na cadeia de tecnologia do sistema financeiro, especialmente entre prestadores terceirizados. Fontes do mercado indicam que o ataque pode ter sido planejado por uma organização criminosa transnacional, com ramificações no mercado cripto.
A C&M Software segue colaborando com as autoridades e afirma que a operação foi contida dentro dos seus protocolos. Ainda não há previsão de retomada plena dos serviços afetados.
