O sistema financeiro brasileiro foi alvo, nesta terça-feira (1º), de um dos maiores ataques cibernéticos já registrados no país. Hackers invadiram a infraestrutura da C&M Software, empresa responsável por intermediar o tráfego de informações entre instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB), e desviaram valores que podem ultrapassar R$ 1 bilhão.
A ação criminosa afetou diretamente contas reserva mantidas por pelo menos seis instituições financeiras junto ao Banco Central (BC). Apesar do impacto bilionário, as contas de clientes finais não foram atingidas, segundo informou o próprio BC em nota oficial.
Como aconteceu o ataque
De acordo com as investigações preliminares, os hackers conseguiram acesso ao sistema por meio de credenciais válidas — o que dificultou a detecção imediata da fraude. Uma vez dentro da estrutura digital da C&M, os criminosos movimentaram os valores das contas reserva e realizaram a conversão de parte dos recursos em criptomoedas, dificultando o rastreamento dos montantes.
A vulnerabilidade explorada pelos invasores estava na comunicação entre os bancos e o sistema do Banco Central, mediada por empresas privadas como a C&M Software, que atuam como prestadoras de mensageria.
Pix suspenso e impacto no sistema
Diante do ataque, o Banco Central determinou o desligamento da C&M do sistema de pagamentos, o que levou à suspensão temporária de operações via Pix em algumas instituições financeiras menores — que dependem desse tipo de conexão terceirizada.
Horas depois, a C&M foi autorizada a retomar parcialmente suas atividades, após apresentar protocolos de segurança reforçados. O retorno ao funcionamento, no entanto, está sendo acompanhado de perto por técnicos do BC e por especialistas em cibersegurança.
Instituições atingidas e prejuízo
Ainda não há confirmação oficial da lista completa de instituições afetadas, mas o número de bancos atingidos pode chegar a seis. Algumas, como o Banco Paulista e a BMP Money Plus, confirmaram que foram impactadas, mas garantem que os prejuízos não serão repassados aos clientes.
Estima-se que o prejuízo total gire entre R$ 400 milhões e R$ 1 bilhão — valor ainda em apuração pela Polícia Federal e pelo Banco Central. Parte dos fundos desviados foi rapidamente transferida para carteiras de criptomoedas, o que levanta a necessidade de cooperação internacional para rastrear os responsáveis.
Investigações e resposta oficial
O caso está sendo investigado por uma força-tarefa que envolve a Polícia Federal, o Banco Central e autoridades de segurança digital. Segundo fontes do setor, já há pistas sobre a origem do ataque, e esforços estão sendo concentrados para identificar os envolvidos e recuperar os valores.
Em nota, o Banco Central afirmou que seus próprios sistemas não foram violados e que o problema foi causado por falhas em uma prestadora de serviços terceirizada. A autarquia também destacou a importância de rever os protocolos de autenticação e monitoramento de acesso às contas reserva.
Reflexões sobre segurança cibernética
O episódio reacende o debate sobre os riscos envolvidos na terceirização de serviços críticos do sistema financeiro e a necessidade urgente de reforçar as barreiras de segurança digital. A confiança no Pix e no SPB não foi abalada entre os grandes bancos, mas a dependência de empresas privadas para operar conexões essenciais expôs fragilidades que precisam ser tratadas com seriedade.
Analistas do setor alertam que o ataque pode servir de alerta para que novas normas sejam implementadas, exigindo autenticação multifatorial, auditorias constantes e regras mais rígidas de segurança para empresas que atuam no ecossistema financeiro digital do país.
