Na terça-feira, 1º de julho de 2025, hackers invadiram a C&M Software — empresa que conecta cerca de seis instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente Pix — usando credenciais vazadas, e desviaram milhões de reais de contas reservas mantidas no Banco Central.
Valores em jogo:
- Estima-se desde “centenas de milhões” (pelo menos R$ 100 milhões).
- Até R$ 400 milhões num balanço intermediário ,
- E, segundo fontes, o impacto poderia chegar a R$ 800 milhões ou até R$ 1 bilhão.
Apesar do volume, o BC confirmou que nenhum cliente final foi afetado; os saques envolveram somente contas reservas para liquidação interbancária.
🚨 Ação das autoridades
- Banco Central (BC) ordenou o desligamento imediato da C&M do SPB/Pix, isolando sua infraestrutura.
- Polícia Federal (PF) e Polícia Civil de São Paulo iniciaram investigação conjunta sobre autoria e extensão do ataque.
🔍 Como foi o ataque
- Os hackers obtiveram credenciais (login e senha) válidas de clientes da C&M e emitiram comandos legítimos, mas fraudulentos, ao BC.
- Em minutos, foram realizados múltiplos saques via Pix, aproveitando-se da confiança no sistema de mensageria da C&M.
- Houve movimentações apontando para conversões em criptomoedas (Bitcoin e USDT), uma rota clássica para dificultar rastreamento.
💥 Impacto e alertas
- Ao menos seis instituições (incluindo BMP, Banco Paulista e Credsystem) tiveram contas reservas utilizadas — mas nenhum saldo dos clientes foi atingido.
- A BMP relatou desvio de R$ 400 milhões, mas já recuperou parte desses valores, com decisões operacionais para cobrir as perdas.
- Confirma-se que os sistemas do BC não foram invadidos — o ataque focou apenas no elo intermediário (C&M.
- Especialistas de cibersegurança alertam que este é um dos maiores digital heists do país e exigem revisão profunda dos protocolos de segurança entre BC e prestadores de serviço .
✅ Considerações finais
| Aspecto | Situação atual |
|---|---|
| Clientes | Sem prejuízo |
| Infraestrutura | Isolamento da C&M |
| Investigação | BC, PF e PC-SP em ação |
| Recuperação | Parcial, com garantias das instituições |
| Fragilidade | Exposição grave na mensageria interbancária |
Este incidente expõe falhas críticas na cadeia de confiança digital do SPB/Pix. A cibersegurança de prestadores como a C&M deve tornar-se prioridade estratégica, com supervisão mais rigorosa e protocolos reforçados.
*Conteúdo gerado com auxílio de IA.