Na tarde de 1º de julho de 2025, o sistema financeiro brasileiro foi abalado por um ataque hacker que pode ser considerado o maior da história do país. A C&M Software, empresa que atua como intermediária na conexão de instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente do Pix, foi alvo de criminosos que desviaram valores estimados entre R$ 400 milhões e R$ 1 bilhão.

O incidente, que comprometeu contas reservas mantidas no Banco Central (BC), expôs vulnerabilidades em serviços terceirizados críticos e levantou debates sobre a segurança cibernética no setor financeiro. As autoridades, incluindo a Polícia Federal (PF) e a Polícia Civil de São Paulo, já estão investigando o caso, enquanto o BC adota medidas para conter danos e evitar novos ataques.

A C&M Software, fundada em 1992 por Orli Machado, é uma das principais provedoras de tecnologia para bancos e fintechs no Brasil, oferecendo soluções de mensageria que conectam instituições ao SPB. Entre seus clientes estão grandes nomes como Bradesco, XP e Minerva Foods, além de empresas como a BMP e a Credsystem, que foram diretamente afetadas pelo ataque.

Segundo informações do Brazil Journal, os hackers exploraram uma vulnerabilidade na infraestrutura da C&M, utilizando credenciais de clientes obtidas de forma fraudulenta para acessar contas reservas de pelo menos seis instituições financeiras. A BMP, uma das principais vítimas, confirmou que os recursos desviados estavam em sua conta reserva no BC, mas garantiu que nenhum cliente final foi impactado, pois essas contas são usadas exclusivamente para liquidações interbancárias.

O montante exato do desvio ainda é motivo de debate. Enquanto o Valor Econômico reportou um prejuízo de R$ 400 milhões, fontes do Brazil Journal e outras estimativas apontam para até R$ 1 bilhão, com cerca de R$ 500 milhões desviados de uma única instituição.

Após o ataque, os criminosos tentaram lavar os recursos convertendo parte deles em criptomoedas, como Bitcoin e Tether (USDT), por meio de plataformas de troca integradas ao Pix, incluindo exchanges e mesas OTC (over-the-counter). Rocelo Lopes, CEO da SmartPay e criador da carteira Truther, relatou ao Cointelegraph Brasil que detectou movimentações atípicas às 00h18 do dia 30 de junho, elevando os filtros de segurança e conseguindo bloquear e devolver grandes somas às instituições afetadas. Apesar disso, parte dos valores foi convertida em criptoativos, dificultando o rastreamento.

O Banco Central agiu rapidamente, determinando a suspensão imediata do acesso da C&M Software ao SPB, medida que interrompeu temporariamente as operações via Pix de algumas instituições, como o Banco Paulista e a Credsystem. O Banco Paulista informou que a falha foi externa e não comprometeu dados sensíveis, enquanto a Credsystem relatou instabilidade apenas no serviço de Pix. A BMP, por sua vez, destacou que possui colaterais suficientes para cobrir os prejuízos sem impactar suas operações ou parceiros comerciais.

O BC reforçou que seus próprios sistemas não foram comprometidos e que as contas reservas não têm relação com os saldos dos clientes finais. A Polícia Federal abriu um inquérito para investigar crimes como organização criminosa, furto mediante fraude, invasão de dispositivo informático e lavagem de dinheiro. Segundo fontes próximas à investigação, o ataque é considerado um marco pela sua escala e sofisticação, evidenciando fragilidades na terceirização de serviços tecnológicos no setor financeiro.

Especialistas, como Kleber Carriello, da Netscout Brasil, apontam que o incidente reforça a necessidade de revisar políticas de gestão de risco de terceiros (TPRM) e os controles contra lavagem de dinheiro, especialmente na intersecção com criptoativos.

Paulo Trindade, da ISH Tecnologia, destacou que a conversão para criptomoedas é uma prática comum em ataques cibernéticos, devido ao anonimato e à rapidez nas transações.O caso também gerou reações nas redes sociais, com debates sobre a segurança do Pix e a dependência de empresas terceirizadas. Usuários no X expressaram preocupação com a estabilidade do sistema financeiro, enquanto outros questionaram a robustez dos protocolos de segurança. Um post da conta (@SomaLinkBrasil), por exemplo, alertou para possíveis atrasos em transações Pix devido ao ataque, enfatizando que contas de clientes não foram afetadas.

A hashtag #PainelPolitico foi usada em algumas publicações, refletindo o interesse público no caso e a busca por informações confiáveis.

Para o setor financeiro, o ataque à C&M Software representa um ponto de inflexão. Bancos e fintechs já estão revisando contratos com prestadores de serviços e intensificando auditorias de segurança.

O advogado Victor Solla Jorge, do Jorge Sociedade de Advogados, afirmou à Folha de S.Paulo que, caso se comprove negligência da C&M, a empresa poderá ser obrigada a ressarcir os prejuízos. No entanto, como a C&M não é uma instituição financeira, ela não possui depósitos de garantia obrigatórios, o que pode complicar a recuperação dos valores.

O Banco Central, por sua vez, sinalizou que o incidente pode levar a novas exigências de compliance e certificações técnicas para empresas que operam no SPB.

Enquanto as investigações avançam, o ataque hacker à C&M Software serve como um alerta para a importância da cibersegurança no sistema financeiro brasileiro. A integração cada vez maior entre bancos, fintechs e tecnologias como o Pix exige uma abordagem estratégica para proteger infraestruturas críticas.

O caso também reforça a necessidade de colaboração entre autoridades, empresas e o setor financeiro para mitigar riscos e garantir a confiança no sistema de pagamentos instantâneos.

Linha do tempo: Ataque hacker à C&M Software e desdobramentos

29-30 de junho de 2025

• Meia-noite (00h18): Rocelo Lopes, CEO da SmartPay, detecta movimentações atípicas no sistema Pix e eleva filtros de segurança, bloqueando e devolvendo parte dos recursos desviados (Fonte: Cointelegraph Brasil).

• Ataque confirmado: Hackers exploram vulnerabilidade na infraestrutura da C&M Software, empresa que conecta bancos e fintechs ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix. Criminosos utilizam credenciais fraudulentas para acessar contas reservas no Banco Central (BC), desviando entre R$ 400 milhões e R$ 1 bilhão (Fontes: Brazil Journal, Valor Econômico).

1º de julho de 2025

• Resposta do Banco Central: BC suspende o acesso da C&M Software ao SPB, interrompendo temporariamente operações Pix de instituições como Banco Paulista e Credsystem (Fontes: Valor Econômico, comunicados oficiais).

• Impacto inicial: Seis instituições financeiras, incluindo BMP, Banco Paulista e Credsystem, confirmam desvios em suas contas reservas. BMP garante que clientes finais não foram afetados (Fonte: Brazil Journal).

• Lavagem de dinheiro: Parte dos recursos desviados é convertida em criptomoedas (Bitcoin e Tether) via exchanges e mesas OTC integradas ao Pix, dificultando rastreamento (Fonte: Cointelegraph Brasil).

2 de julho de 2025

• Investigações iniciadas: Polícia Federal e Polícia Civil de São Paulo abrem inquéritos para apurar crimes como furto mediante fraude, invasão de dispositivo informático, organização criminosa e lavagem de dinheiro (Fonte: Valor Econômico).

• Reações públicas: Usuários no X debatem a segurança do Pix e a terceirização de serviços financeiros, com posts como o da conta @SomaLinkBrasil

  alertando sobre instabilidades (Fonte: X).

• Declarações de empresas: Banco Paulista e Credsystem informam que a falha foi externa e não comprometeu dados de clientes. BMP destaca que possui colaterais para cobrir prejuízos (Fontes: comunicados oficiais).

3 de julho de 2025 (atual)

• Medidas do Banco Central: BC confirma que seus sistemas não foram comprometidos e reforça que contas reservas não afetam saldos de clientes finais. Novas exigências de compliance para empresas no SPB estão em discussão (Fonte: Valor Econômico).

• Setor financeiro reage: Bancos e fintechs revisam contratos com terceiros e intensificam auditorias de segurança. Especialistas como Kleber Carriello (Netscout Brasil) e Paulo Trindade (ISH Tecnologia) apontam necessidade de fortalecer políticas de gestão de risco e controles contra lavagem de dinheiro (Fontes: Brazil Journal, Cointelegraph Brasil).

• Questões legais: Advogado Victor Solla Jorge sugere que, se comprovada negligência, a C&M Software pode ser obrigada a ressarcir prejuízos, mas a falta de depósitos de garantia pode complicar a recuperação (Fonte: Folha de S.Paulo).

O que vem pela frente

• Investigações em curso: A Polícia Federal deve aprofundar o rastreamento dos valores desviados, especialmente os convertidos em criptomoedas, com possível colaboração de exchanges para identificar os criminosos.

• Impacto regulatório: O Banco Central pode implementar regras mais rígidas para empresas terceirizadas no SPB, incluindo certificações técnicas e auditorias obrigatórias.

• Revisão de segurança: Instituições financeiras devem intensificar investimentos em cibersegurança e revisar parcerias com prestadores de serviços tecnológicos.

• Confiança no Pix: O caso pode gerar debates sobre a robustez do sistema de pagamentos instantâneos, exigindo esforços do BC e do setor para manter a confiança do público.

• Desdobramentos legais: A responsabilidade da C&M Software será avaliada, com possíveis ações judiciais por parte das instituições afetadas.

O que é uma empresa de mensageria no contexto financeiro?

Empresas de mensageria, como a C&M Software, são Prestadoras de Serviços de Tecnologia da Informação (PSTI) homologadas pelo Banco Central do Brasil (BC). Elas atuam como intermediárias tecnológicas, fornecendo infraestrutura e serviços que permitem a instituições financeiras (bancos, fintechs, cooperativas de crédito, entre outros) se conectarem ao SPB, o sistema que gerencia transferências, pagamentos e liquidações interbancárias no Brasil, incluindo o Pix, TED, DDA, boletos e outros.

Essas empresas são essenciais para instituições que não possuem infraestrutura própria para se conectar diretamente aos sistemas do Banco Central, como grandes bancos (e.g., Itaú, Bradesco) que têm seus próprios sistemas de integração. Para bancos menores, fintechs ou cooperativas, a C&M Software oferece uma solução que simplifica o acesso ao SPB, reduzindo custos e complexidade.

Como funciona a integração com o Sistema de Pagamentos Brasileiro (SPB)?

O SPB é um conjunto de sistemas e regras gerenciado pelo Banco Central que facilita a liquidação de transações financeiras entre instituições. Ele inclui:

• Pix: Sistema de pagamentos instantâneos que opera 24/7.

• TED: Transferências eletrônicas disponíveis.

• DDA: Débito Direto Autorizado, para pagamento de boletos.

• SITRAF: Sistema de Transferência de Fundos.

• Outros: Open Finance, boletos, entre outros.

A C&M Software atua como uma camada de mensageria, ou seja, uma ponte tecnológica que conecta as instituições financeiras ao SPB. Essa conexão é feita por meio de APIs (Application Programming Interfaces) e webservices, que permitem a troca de mensagens financeiras em tempo real ou em lotes, garantindo que transações sejam processadas de forma segura e eficiente.

Fluxo básico de funcionamento:

1. Integração com a instituição financeira:

   • A instituição (banco ou fintech) contrata a C&M Software para acessar o SPB.

   • A C&M fornece APIs ou webservices que permitem à instituição enviar e receber mensagens financeiras (e.g., ordens de pagamento, confirmações de liquidação).

   • Essas APIs são integradas aos sistemas internos da instituição, como seus aplicativos ou plataformas de core bancário.

2. Comunicação com o Banco Central:

   • A C&M Software opera como um nó de comunicação, traduzindo as requisições do sistema: mensagens da instituição financeira em formatos compatíveis com o SPB, como o Pix, e enviando essas mensagens para o Banco Central. O sistema da C&M Software é projetado para garantir que essas mensagens sejam seguras, rápidas e conformes às regulamentações do Banco Central.

3. Processamento no SPB:

   • O Banco Central recebe as mensagens (como ordens de transferência ou pagamento) e as processa no SPB. Isso inclui verificar a validade da transação, debitar a conta reserva da instituição pagadora e creditar a conta reserva da instituição recebedora.

   • As contas reserva são contas mantidas no Banco Central pelas instituições financeiras, usadas exclusivamente para liquidações interbancárias. Elas não têm relação com contas de clientes finais, garantindo que o ataque hacker à C&M Software, conforme relatado, não comprometeu diretamente os saldos de clientes.

4. Confirmação e Liquidação:

   Após o processamento, o Banco Central confirma a transação, e a C&M Software retorna a confirmação para a instituição financeira, que atualiza os saldos nas contas dos clientes.

   • Todo o processo ocorre em tempo real (no caso do Pix) ou em prazos específicos (como TED ou boletos), com alta disponibilidade e segurança.

Papel técnico da C&M Software

A C&M Software é uma empresa especializada em tecnologia financeira, fundada em 1999, e foi a primeira PSTI homologada pelo Banco Central em 2001. Sua plataforma, conhecida como Rocket, é projetada para oferecer:

• Automação inteligente: Reduz custos, tempo e falhas, além de mitigar riscos em processos financeiros, como análise de crédito, gestão de fluxo de caixa e prevenção de fraudes.

• Integração segura: Utiliza APIs e webservices para conectar instituições ao SPB, garantindo conformidade com padrões de segurança (e.g., criptografia, autenticação robusta).

• Alta performance: Oferece um ambiente operacional com baixa latência, essencial para transações instantâneas como o Pix.

• Soluções específicas: Inclui ferramentas como o Crystal Pix, que substitui boletos por cobranças via Pix, reduzindo custos e simplificando processos para empresas.

A empresa também contribuiu para projetos internacionais, como o FedNow, o "Pix americano", em parceria com o Federal Reserve dos EUA, demonstrando sua expertise em sistemas de pagamento instantâneo.

Segurança e vulnerabilidades

A C&M Software utiliza protocolos de segurança robustos, como criptografia e autenticação de credenciais, para proteger as transações. No entanto, o ataque hacker de julho de 2025 revelou vulnerabilidades. Criminosos exploraram credenciais de clientes usadas de forma indevida, obtendo acesso a contas reserva de seis instituições financeiras, com prejuízos estimados entre R$ 400 milhões e R$ 1 bilhão. O ataque não comprometeu os sistemas do Banco Central ou contas de clientes finais, mas expôs fragilidades na segurança da C&M, como possíveis falhas em controles de acesso ou validação de credenciais.

O Banco Central respondeu suspendendo temporariamente o acesso da C&M ao SPB, e a empresa implementou medidas de mitigação, permitindo a retomada parcial das operações sob monitoramento reforçado. Isso destaca a importância de empresas de mensageria investirem em segurança cibernética, como autenticação multifator, monitoramento em tempo real e auditorias regulares, para proteger a infraestrutura crítica do sistema financeiro.

Exemplo prático do fluxo de uma transação Pix:

1. Um cliente de uma fintech inicia um Pix pelo aplicativo da instituição.

2. A fintech envia a ordem de pagamento via API da C&M Software.

3. A C&M formata a mensagem no padrão do SPB e a envia ao Banco Central.

4. O Banco Central valida a transação, debita a conta reserva da fintech pagadora e credita a conta reserva da instituição recebedora.

5. A C&M Software retorna a confirmação para a fintech, que notifica o cliente sobre a conclusão da transação.

Impacto no mercado

A C&M Software atende cerca de 22 a 24 instituições financeiras, incluindo bancos menores, cooperativas e fintechs como BMP, Banco Paulista e Credsystem. Seu papel é crítico, pois permite que essas instituições participem do ecossistema do Pix e outros serviços do SPB sem a necessidade de desenvolverem infraestrutura própria. O ataque hacker de 2025, que afetou seis instituições, levantou debates sobre a necessidade de regulamentações mais rigorosas para empresas de mensageria e maior supervisão do Banco Central sobre terceiros que operam na "sombra" do sistema financeiro.

Empresas de mensageria como a C&M Software são elos essenciais no sistema financeiro brasileiro, conectando instituições ao SPB por meio de APIs e webservices que garantem transações seguras e eficientes. Elas reduzem a complexidade para bancos menores e fintechs, mas o recente ataque hacker destaca a necessidade de investir em segurança cibernética para proteger contas reserva e manter a confiança no sistema.

A C&M, com sua plataforma Rocket e soluções como o Crystal Pix, exemplifica a inovação no setor, mas também a responsabilidade de operar em um ambiente altamente sensível.

Get more from Painel Político - Blog in the Substack app

Available for iOS and Android

Get the app

Palavras-chave: ataque hacker, C&M Software, Banco Central, Pix, sistema financeiro, cibersegurança, criptomoedas, contas reservas, BMP, Polícia Federal

Hashtags: #Cibersegurança #Pix #BancoCentral #AtaqueHacker #SistemaFinanceiro #Criptomoedas #PainelPolitico