Um ataque hacker de grandes proporções atingiu o sistema financeiro brasileiro no início desta semana, resultando no desvio de valores que podem ultrapassar R$ 1 bilhão. O Banco Central (BC) confirmou a invasão nesta quarta-feira (02/07). O alvo foi a C&M Software, empresa que atua como intermediária entre instituições financeiras e o BC, permitindo acesso ao sistema de liquidação do Pix.
Segundo o Banco Central, os criminosos invadiram os sistemas da C&M usando credenciais reais de clientes, o que possibilitou a movimentação indevida de recursos armazenados em contas reservas — tipo de conta que instituições financeiras mantêm junto ao BC exclusivamente para operações interbancárias.
O próprio BC identificou as movimentações atípicas. Para conter o avanço da fraude, suspendeu imediatamente a C&M do Sistema de Pagamentos Brasileiro (SPB). O impacto direto nos correntistas foi limitado, já que os valores desviados não pertencem a contas de clientes finais, mas a instituições financeiras. Ainda assim, algumas plataformas de Pix ficaram fora do ar temporariamente, gerando instabilidade em transações eletrônicas.
Na quinta-feira (03/07), a C&M Software anunciou que reestabeleceu seus serviços após autorização do Banco Central, conforme informado pela própria empresa. A suspensão afetou pelo menos seis instituições financeiras, que passaram a operar com limitações enquanto revisavam a segurança da infraestrutura.
Parte dos valores foi convertida em criptomoedas
A operação hacker foi sofisticada e rápida. Os invasores conseguiram transferir os valores a contas de laranjas e, em parte, convertê-los em criptomoedas, dificultando o rastreamento e a devolução. O Banco Central, por meio do Mecanismo Especial de Devolução (MED), conseguiu recuperar uma parcela dos recursos que os criminosos não movimentaram. No entanto, os hackers já haviam retirado ou convertido uma fatia significativa do sistema.
Investigações em andamento
A Polícia Federal abriu inquérito para apurar crimes como invasão de sistema, furto mediante fraude, lavagem de dinheiro e organização criminosa. A C&M Software, por sua vez, declarou que também foi vítima da ação criminosa e afirmou que seguiu todos os protocolos de segurança recomendados, além de estar colaborando com as investigações.
Especialistas apontam que o ataque não comprometeu diretamente a segurança do Pix, mas sim a vulnerabilidade de uma empresa integradora, terceirizada por diversas instituições financeiras. Para analistas do setor, o episódio acende um alerta sobre a fragilidade de pontos intermediários na estrutura do sistema financeiro, que muitas vezes operam sem fiscalização rigorosa por parte das instituições contratantes.
O que muda daqui para frente
A expectativa é que o Banco Central reforce a auditoria de empresas que atuam como intermediadoras tecnológicas e revise exigências de segurança cibernética. Até o momento, o Pix segue funcionando normalmente para os usuários finais, mas o episódio é um dos maiores ataques cibernéticos da história do sistema financeiro brasileiro.
A estimativa oficial dos prejuízos ainda está sendo consolidada, mas fontes do mercado calculam que o montante desviado pode variar entre R$ 400 milhões e R$ 1 bilhão, dependendo do volume efetivamente recuperado.
O caso segue em investigação e, o BC, irá adotar medidas adicionais para evitar novos episódios do tipo.
Leia também: Entram em vigor novas regras de segurança para chaves Pix
