Ataque hacker a prestadora de serviços financeiros pode ter roubado mais de R$ 1 bi do Bradesco, BMP e Credsystem
Prejuízo afeta contas reserva de instituições como BMP, Bradesco e Credsystem, enquanto Banco Central e Polícia Federal investigam
Na terça-feira, 1º de julho de 2025, o sistema financeiro brasileiro foi abalado por um ataque cibernético de grandes proporções à C&M Software, empresa que fornece infraestrutura tecnológica para bancos e fintechs no Brasil.
O incidente, confirmado pelo Banco Central (BC), resultou no desvio de recursos de contas reserva mantidas por instituições financeiras junto ao BC, com prejuízos estimados entre R$ 400 milhões e R$ 1 bilhão, segundo fontes do setor. A Polícia Federal (PF) e a Polícia Civil de São Paulo já iniciaram investigações para identificar os responsáveis e rastrear os valores desviados, enquanto o BC determinou a suspensão imediata do acesso das instituições às infraestruturas operadas pela C&M.
O que aconteceu?
A C&M Software, fundada em 1992 e sediada em São Paulo, é uma peça-chave no Sistema de Pagamentos Brasileiro (SPB), oferecendo APIs e webservices que conectam bancos, fintechs e outras instituições financeiras ao ambiente de liquidação do Pix, TED e outros serviços. Criminosos exploraram vulnerabilidades na infraestrutura tecnológica da empresa, acessando fraudulentamente contas reserva de ao menos cinco instituições financeiras.
Entre as instituições afetadas estão a BMP, Bradesco e Credsystem, conforme reportado por fontes como o Brazil Journal e o Cointelegraph Brasil. O Bradesco, no entanto, negou ter sido impactado diretamente pelo ataque.
O valor exato do prejuízo ainda não foi oficialmente confirmado pelo Banco Central, mas estimativas iniciais apontam para cifras significativas. O Brazil Journal e outros veículos, como o Canaltech e o Metrópoles, relatam que o montante desviado pode ultrapassar R$ 1 bilhão, o que tornaria este o maior ataque cibernético financeiro registrado no Brasil. Outras fontes, como o InfoMoney e o Economic News Brasil, indicam um valor mínimo de R$ 400 milhões, com perdas médias por instituição afetada estimadas em cerca de R$ 50 milhões.
Resposta imediata e impacto
O Banco Central agiu rapidamente, determinando o desligamento do acesso das instituições financeiras às infraestruturas operadas pela C&M Software para conter possíveis danos adicionais. Em nota, o BC esclareceu que seus sistemas não foram diretamente afetados e que está acompanhando o caso de perto, realizando diligências para garantir a estabilidade do sistema financeiro nacional.
A C&M Software, por sua vez, informou que está colaborando com o BC e a Polícia Civil de São Paulo, mas, por orientação jurídica, não divulgou detalhes adicionais sobre o incidente. A empresa afirmou que seus sistemas críticos permanecem íntegros e que todas as medidas de segurança previstas em seus protocolos foram executadas. A BMP, uma das instituições mais afetadas, destacou que nenhum cliente teve seus recursos acessados, já que o ataque se restringiu a contas reserva mantidas no Banco Central, utilizadas para liquidação interbancária. “A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou a seus parceiros comerciais”, afirmou a BMP em comunicado.
A empresa, que opera desde 1999 como provedora de serviços de Banking as a Service (BaaS), reforçou seu compromisso com a segurança e a transparência.
Movimentação dos recursos e tentativas de lavagem
Segundo o Cointelegraph Brasil, os hackers tentaram movimentar os valores desviados por meio do Pix e de plataformas de criptomoedas, incluindo exchanges, gateways e mesas de OTC (over-the-counter). Parte dos recursos foi bloqueada por bancos e plataformas cripto, que identificaram movimentações atípicas.
Rocelo Lopes, CEO da SmartPay e criador da carteira de autocustódia Truther, relatou que detectou atividades suspeitas às 00h18 do dia 30 de junho, antes mesmo do ataque ser amplamente noticiado. Ele informou que elevou os filtros de validação em suas plataformas, conseguindo reter grandes somas e iniciar a devolução para as instituições envolvidas. Lopes não divulgou os valores exatos, mas afirmou estar à disposição das autoridades para auxiliar nas investigações.
Contexto e implicações
O ataque à C&M Software expõe a crescente sofisticação dos ciberataques contra o sistema financeiro, que tem enfrentado incidentes recorrentes nos últimos anos. Em 2024, por exemplo, o Banco do Brasil sofreu um ataque que resultou em perdas de R$ 40 milhões, enquanto o Neon enfrentou um vazamento de dados de clientes. O caso atual, no entanto, destaca vulnerabilidades em fornecedores terceirizados, como a C&M, que são elos críticos na infraestrutura do SPB.
Especialistas em cibersegurança apontam que o incidente reforça a necessidade de investimentos em tecnologias como criptografia avançada, autenticação multifator e auditorias mais rigorosas. O ataque também levanta questões sobre a segurança do Pix, sistema de pagamentos instantâneos amplamente adotado no Brasil desde 2020. Embora o BC tenha reiterado que sua infraestrutura principal não foi comprometida, a manipulação de pontos de conexão digital da C&M expôs fragilidades em camadas intermediárias do sistema.
Como resultado, bancos e fintechs já estão reavaliando contratos com fornecedores de tecnologia, e o BC estuda novas exigências de compliance e governança cibernética para empresas que operam no ecossistema financeiro.
Investigação e próximos passos
A Polícia Federal assumiu a liderança nas investigações, com apoio da Polícia Civil de São Paulo, para identificar os autores do ataque e rastrear os recursos desviados. Ainda não há informações sobre os responsáveis, mas a sofisticação do ataque sugere o envolvimento de grupos criminosos especializados, possivelmente utilizando malwares como infostealers para roubar credenciais e automatizar fraudes.
Autoridades asseguram que as vulnerabilidades exploradas foram contidas, mas o caso gerou preocupação no setor financeiro, especialmente entre fintechs que dependem de provedores como a C&M para acessar o SPB.
O ataque à C&M Software marca um momento crítico para o sistema financeiro brasileiro, reforçando a urgência de fortalecer a cibersegurança em toda a cadeia de operações bancárias. Enquanto as investigações avançam, o incidente deve influenciar diretamente a regulação do setor, com possíveis mudanças nas regras de segurança e auditoria para empresas que conectam instituições financeiras ao Banco Central.
Palavras-chave: ataque hacker, C&M Software, Banco Central, Polícia Federal, Pix, sistema financeiro, cibersegurança, BMP, Bradesco, Credsystem, prejuízo bilionário
Hashtags: #Cibersegurança #SistemaFinanceiro #AtaqueHacker #BancoCentral #Pix #PainelPolitico
Fontes: Brazil Journal, Cointelegraph Brasil, Estadão, InfoMoney, Economic News Brasil, Metrópoles, Canaltech, TecMundo, CNN Brasil, Seu Dinheiro, Folha de S.Paulo