Um ataque cibernético de proporções significativas abalou o sistema financeiro brasileiro na noite de 1º de julho de 2025. Cibercriminosos invadiram a infraestrutura da C&M Software, uma empresa essencial que conecta diversas instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo as operações do Pix. O incidente resultou em um prejuízo estimado entre R$ 800 milhões e R$ 1 bilhão, afetando diretamente as contas reservas de pelo menos seis instituições, entre elas BMP, Credsystem e Banco Paulista, configurando o maior ataque digital já registrado no país.
A gravidade da ação criminosa levou o Banco Central a suspender temporariamente o acesso da C&M ao SPB, enquanto a Polícia Federal e a Polícia Civil de São Paulo iniciaram investigações rigorosas. A apuração já resultou na prisão de um suspeito, um funcionário terceirizado da própria empresa, o que adiciona novas camadas de complexidade ao caso. A sofisticação da operação e a magnitude do valor desviado colocam em xeque a segurança de sistemas terceirizados no setor financeiro.
A dimensão do ataque, que especialistas apelidaram de “roubo do século”, expõe vulnerabilidades em sistemas que servem como elos cruciais na cadeia de pagamentos. Os criminosos agiram com planejamento meticuloso durante meses, preparando o golpe que envolveu transferências fraudulentas e tentativas de lavagem de dinheiro por meio de criptomoedas. Detalhes cruciais do incidente incluem:
– Prejuízo estimado: entre R$ 800 milhões e R$ 1 bilhão, com R$ 500 milhões desviados de uma única instituição.
– Instituições afetadas: pelo menos seis, incluindo BMP, Credsystem e Banco Paulista.
– Resposta imediata: Banco Central determinou o desligamento da C&M do SPB e abriu investigações.
– Prisão de suspeito: funcionário terceirizado da C&M foi detido em São Paulo.
Alvo do ataque: como a C&M Software foi comprometida
A C&M Software, com mais de três décadas de atuação, é especializada em soluções de mensageria, garantindo a comunicação segura entre bancos, fintechs e o Banco Central. No ataque, os hackers utilizaram credenciais roubadas para acessar o sistema, explorando uma vulnerabilidade que permitiu transferências fraudulentas de grandes somas. Kamal Zogheib, diretor comercial da empresa, afirmou que os sistemas críticos permaneceram intactos, mas o incidente comprometeu contas reservas de clientes.
O método empregado, conhecido como “supply chain attack”, visa atingir uma empresa para comprometer seus clientes, explorando a confiança na cadeia de suprimentos tecnológica. No caso, a C&M foi a porta de entrada para acessar contas mantidas no Banco Central, que são utilizadas exclusivamente para liquidar operações do Pix. Embora a empresa negue falhas em sua tecnologia, o roubo de credenciais sugere fragilidades significativas nos processos de autenticação e controle de acesso.
A preparação do ataque, conforme indicam fontes do setor, durou vários meses, durante os quais os criminosos monitoraram o sistema da C&M. Eles identificaram padrões de transações e exploraram brechas operacionais e de segurança para planejar a execução do golpe. A movimentação atípica detectada na deep web nas semanas anteriores ao ataque já apontava para a busca por contas laranjas e mecanismos de lavagem de dinheiro, revelando a complexidade e o planejamento da operação.
Instituições financeiras impactadas
Entre as instituições diretamente impactadas pelo ataque, a BMP foi a primeira a admitir publicamente o prejuízo financeiro. A empresa, que opera no modelo de “banking as a service”, esclareceu em comunicado que o ataque atingiu apenas sua conta reserva, sem comprometer recursos de clientes finais. A BMP assegurou que possui colaterais suficientes para cobrir as perdas e já implementou medidas legais e operacionais para mitigar os danos.
O Banco Paulista, outra das instituições afetadas, registrou uma interrupção temporária no serviço de Pix, consequência direta da falha na C&M Software. A instituição prontamente reforçou que não houve movimentações indevidas de dados sensíveis de seus correntistas, concentrando esforços na normalização dos serviços e na segurança de suas operações.
A Credsystem, focada em soluções financeiras para o varejo, também enfrentou sérios problemas decorrentes do incidente. Seu serviço de Pix foi temporariamente suspenso por uma determinação do Banco Central, impactando milhares de usuários e transações. A empresa trabalha para restabelecer a plena capacidade de seus sistemas, reafirmando o compromisso com a segurança dos dados.
Outras três instituições, cujos nomes não foram oficialmente divulgados, também registraram perdas substanciais. Estimativas preliminares apontam que cada uma dessas empresas sofreu prejuízos superiores a R$ 50 milhões. Apesar do impacto financeiro considerável, todas as instituições reiteraram que os recursos dos correntistas permaneceram seguros e não foram acessados pelos criminosos.
Resposta do Banco Central e apuração
Imediatamente após a detecção do ataque, o Banco Central agiu com celeridade, determinando a suspensão total do acesso da C&M Software ao Sistema de Pagamentos Brasileiro. Essa medida preventiva, implementada na manhã de 2 de julho, teve como objetivo principal conter novas transferências fraudulentas e proteger a integridade do sistema financeiro. A autarquia demonstrou firmeza na resposta à crise.
Posteriormente, na quinta-feira, 3 de julho, a suspensão total foi substituída por uma suspensão parcial, permitindo que a C&M restabelecesse as operações do Pix sob um regime de produção controlada. O Banco Central esclareceu que nenhum de seus sistemas internos foi comprometido e que o Pix continuou funcionando normalmente para usuários de outras instituições, mantendo a confiança na plataforma. Além disso, uma apuração interna foi aberta para avaliar a extensão do incidente e identificar possíveis falhas regulatórias que possam ter contribuído para a vulnerabilidade.
Estratégias de lavagem de dinheiro
Parte significativa dos recursos desviados foi rapidamente transferida para uma complexa rede de contas laranjas, com os criminosos tentando converter os valores em criptomoedas, como Bitcoin e Tether (USDT). A BMP informou que uma plataforma de negociação de ativos digitais detectou as transações suspeitas e conseguiu bloquear parte das operações, permitindo a recuperação de alguns fundos. Rocelo Lopes, especialista em criptoativos, ressaltou o planejamento dos hackers, que enviaram pequenas quantias para mesas OTC (over-the-counter) a fim de dificultar o rastreamento e a identificação.
A movimentação na deep web, observada por empresas de cibersegurança nas semanas anteriores ao ataque, revelou um aumento acentuado na busca por contas laranjas e criptoativos. Victor Solla Jorge, advogado especializado em criptomoedas, explicou que transferências via Pix ou TED deixam rastros bancários que podem facilitar a identificação dos envolvidos. Ele destacou a importância de plataformas de negociação de criptoativos manterem rigorosas verificações de identidade para evitar que sejam usadas em esquemas de lavagem.
Vulnerabilidades no sistema financeiro
O incidente expôs fragilidades sistêmicas na cibersegurança do setor financeiro, especialmente em relação a intermediários tecnológicos. Ronaldo Lemos, colunista e especialista em tecnologia, apontou que o ataque provavelmente envolveu técnicas sofisticadas de engenharia social, como o roubo de credenciais, que podem explorar pontos fracos na autenticação de sistemas. A dependência de empresas como a C&M para conectar instituições menores ao SPB se tornou um ponto de crítica, já que grandes bancos, como Bradesco e XP, que também são clientes da C&M, afirmaram não terem sido impactados por possuírem infraestrutura própria para acesso direto ao Banco Central. Essa distinção ressalta a necessidade de camadas de segurança robustas e redundância em toda a cadeia de pagamentos para mitigar riscos de ataques coordenados.
Ações de contenção e reestabelecimento
Após a suspensão inicial, a C&M Software colaborou intensamente com o Banco Central para restabelecer suas operações, implementando protocolos de segurança adicionais e auditorias em seus sistemas.
Detalhes da prisão e investigação
João Nazareno Roque, o suspeito preso no caso, trabalhava na C&M Software há três anos como funcionário terceirizado. Sua prisão, efetuada pelo Departamento Estadual de Investigações Criminais (Deic) em São Paulo, representou um avanço crucial na investigação. Roque alegou que sua máquina foi utilizada pelos hackers, mas as circunstâncias exatas de sua participação, se intencional ou por manipulação, ainda estão sob análise detalhada pelas autoridades.
A Polícia Federal, em conjunto com a Polícia Civil e o Banco Central, planeja rastrear meticulosamente as transações fraudulentas. O foco está na identificação das contas laranjas e das plataformas de criptomoedas envolvidas, buscando mapear toda a rede criminosa. A colaboração entre as diferentes forças de segurança será fundamental para identificar outros possíveis envolvidos e recuperar os valores desviados.
Análise do maior ataque cibernético
O ataque à C&M Software ressaltou a urgência de investimentos contínuos e robustos em cibersegurança no setor financeiro brasileiro. A sofisticação dos criminosos, que combinaram roubo de credenciais, um planejamento prolongado e tentativas complexas de lavagem de dinheiro, evidencia a evolução constante das ameaças digitais. Instituições financeiras de menor porte, que dependem de terceiros para acessar o SPB, enfrentam desafios significativos para garantir a proteção de seus sistemas e dados.
O incidente também reforçou a indispensabilidade de auditorias regulares nos sistemas e a implementação de autenticação multifator para todos os usuários. Pedro Diógenes, especialista em segurança da informação, destacou que a padronização das ordens de pagamento, embora essencial para a eficiência do Pix, pode ser explorada se não houver camadas de segurança robustas. A revisão das políticas de homologação do Banco Central será um passo crucial para evitar que incidentes semelhantes ocorram no futuro.
Próximos passos da apuração
As autoridades concentram agora seus esforços em mapear a complexa rede de contas laranjas e em identificar os líderes por trás do ataque bilionário. A análise das transações na blockchain, tecnologia utilizada para rastrear criptomoedas, pode fornecer pistas valiosas sobre o destino final dos fundos desviados. A C&M Software, sob intenso escrutínio público e regulatório, comprometeu-se a colaborar plenamente com as investigações, mas enfrenta questionamentos sobre sua capacidade de prevenir futuros ataques.
O Banco Central, por sua vez, mantém a confiança na robustez do Pix, reforçando que o sistema permanece seguro para a população em geral. A normalização das operações da C&M, que ocorre sob supervisão rigorosa, indica um retorno gradual à estabilidade do setor. No entanto, o impacto financeiro e reputacional do incidente deverá permanecer em debate por um longo período.