Hackers desviam ao menos R$ 400 milhões após invadirem empresa que conecta instituições ao Pix
C&M Software, que interliga instituições ao Banco Central, foi alvo de invasão; PF e BC investigam caso sem precedentes
Um ataque cibernético à C&M Software, empresa que presta serviços tecnológicos a instituições financeiras e se conecta diretamente à infraestrutura do Banco Central (BC), resultou no desvio de ao menos R$ 400 milhões na última terça-feira (1º). A ofensiva digital expôs vulnerabilidades críticas no ecossistema do Pix e reacendeu o debate sobre a segurança das operações instantâneas no Brasil.
Segundo relatos, os criminosos se aproveitaram da conexão da C&M com o Sistema de Pagamentos Brasileiro (SPB) e o Sistema de Pagamentos Instantâneos (SPI), invadindo a estrutura da empresa e acessando contas reservas de cinco instituições junto ao BC. Parte dos valores foi transferida de forma fraudulenta. Apenas uma pequena fração teria sido recuperada por meio do MED, mecanismo especial de devolução do Pix.
Uma das instituições afetadas foi a BMP, que esclareceu que nenhum cliente foi impactado diretamente. “O ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central”, destacou a empresa, afirmando que possui garantias suficientes para cobrir os prejuízos, sem comprometer suas operações.
Investigação e desconexão do sistema
Diante do ocorrido, a C&M foi imediatamente desconectada do ambiente do Banco Central. A instituição confirmou, em nota, que determinou o desligamento das conexões operadas pela prestadora. A Polícia Federal também foi acionada para investigar o crime, que envolve o uso indevido de credenciais de clientes e invasão à infraestrutura crítica do sistema financeiro.
A C&M Software, fundada em 1992 por Orli Machado, é responsável pela mensageria que conecta instituições financeiras ao BC, especialmente aquelas que não possuem ligação direta com a Rede do Sistema Financeiro Nacional (RFSN). Em nota, a empresa afirmou que é “vítima direta da ação criminosa” e que seus sistemas críticos permanecem íntegros. Por orientação jurídica, não divulgou detalhes da ocorrência, mas afirmou estar colaborando com as autoridades.
Questionamentos à segurança do sistema
O ataque levantou preocupações no setor financeiro quanto à robustez dos mecanismos de proteção do próprio Banco Central. Fontes do mercado criticaram a ausência de “travas de volumetria” no sistema do BC, ferramenta comum em instituições bancárias para limitar transferências suspeitas. “Como é possível movimentar R$ 400 milhões sem que o sistema detecte risco de fraude?”, questionou uma fonte ouvida sob anonimato.
Repercussão e medidas
Além da BMP, o Banco Paulista também foi afetado de forma indireta, registrando instabilidade temporária no sistema de Pix por conta de uma falha em um provedor terceirizado. A instituição garantiu que não houve comprometimento de dados sensíveis nem movimentações indevidas.
Enquanto as investigações avançam, representantes do setor e especialistas em segurança digital cobram reforço nas barreiras tecnológicas do sistema financeiro, especialmente nas integrações com prestadores terceirizados. A expectativa é de que o episódio impulsione revisões nos protocolos de segurança e no modelo de operação das conexões ao BC.
O caso, considerado um dos maiores ataques já registrados contra a estrutura do Pix, coloca em xeque a resiliência do sistema e pressiona autoridades a aprimorar mecanismos de monitoramento e resposta a fraudes em tempo real.
Fonte: Guia Muriaé
Receba nossas notícias direto no seu WhatsApp! Envie uma mensagem para o número (32) 99125-5754 ou pelo link 
