Um sofisticado ataque cibernético atingiu a infraestrutura do sistema financeiro brasileiro, resultando no desvio de aproximadamente R$ 800 milhões por meio de transferências via Pix. A ação criminosa teve como vetor a C&M Software, empresa responsável por intermediar a comunicação entre 293 instituições financeiras e o Banco Central por meio de sistemas de mensageria. O caso, revelado pelo Brazil Journal e posteriormente detalhado por outros veículos especializados, é considerado o maior roubo já registrado na história da infraestrutura financeira do país.
O ataque teve início na madrugada de 30 de junho, quando uma transferência atípica de R$ 18 milhões realizada às 4h disparou os primeiros alertas. A movimentação levou executivos da BMP, fintech de banking as a service, a identificarem saques indevidos em sua conta de reserva junto ao Banco Central. Ao todo, cerca de R$ 400 milhões foram desviados dessa conta específica. “Já conseguimos recuperar R$ 130 milhões e nenhum cliente foi afetado”, afirmou Carlos Eduardo Benitez, fundador da BMP.
Acesso por credenciais legítimas e execução dentro dos parâmetros técnicos
Segundo apuração, os criminosos se valeram de credenciais legítimas de instituições clientes da C&M Software para acessar o sistema de mensageria e realizar transferências em série por meio do Pix. A operação foi conduzida de forma a respeitar todos os critérios técnicos exigidos pelo Banco Central, o que dificultou sua detecção imediata.
“O que chegou ao sistema foi uma ordem lícita, oriunda de participante autorizado e dentro dos padrões de segurança exigidos”, disse uma fonte próxima à autoridade monetária ao Brazil Journal. A comparação feita por técnicos do setor é a de uma compra com cartão de crédito autenticada por chip e senha: tecnicamente correta, ainda que fraudulenta.
A C&M Software é classificada pelo Banco Central como uma Provedora de Serviços de Tecnologia da Informação (PSTI). Seu papel é conectar instituições que não possuem infraestrutura própria ao Sistema de Pagamentos Brasileiro (SPB), intermediando operações como TEDs, Pix, DDA e outras mensagens financeiras eletrônicas.
Tentativa de conversão imediata em criptoativos
Após a execução das transferências, os valores começaram a ser rapidamente convertidos em criptoativos, como Bitcoin e USDT (Tether), por meio de plataformas integradas ao Pix, mesas de operações (OTC) e exchanges. A movimentação chamou atenção de operadoras do setor. Às 0h18 do dia 30 de junho, Rocelo Lopes, CEO da SmartPay e criador da carteira Truther, detectou uma atividade anormal e bloqueou valores suspeitos.
“Congelamos grandes somas e fizemos a devolução imediata às instituições envolvidas”, declarou Lopes. Ele também destacou a ausência de sistemas automatizados para análise de transações anômalas: “Na era da inteligência artificial, não contar com sistemas preditivos de segurança é um ponto crítico”.
Apesar dos bloqueios pontuais, parte do montante ainda circula em redes blockchain, o que dificulta o rastreamento definitivo dos valores desviados.
Fragilidade estrutural e risco sistêmico
O episódio evidenciou vulnerabilidades críticas nas PSTIs — empresas que oferecem conectividade terceirizada entre instituições financeiras e o Banco Central. Ao contrário dos grandes bancos, que operam com conexões diretas, fintechs, cooperativas de crédito e bancos menores utilizam intermediárias como a C&M.
Especialistas apontam que a combinação de contas-reserva (onde recursos próprios e de clientes podem se misturar), liquidação instantânea via Pix e diversificação tecnológica formou um ambiente propício para fraudes em larga escala. Estimativas indicam que sete instituições teriam sido afetadas, com prejuízos médios acima de R$ 50 milhões. A BMP, por exemplo, estima perdas líquidas próximas a R$ 300 milhões — cerca da metade de sua liquidez antes do incidente.
Em nota oficial, o Banco Central confirmou que as contas-reserva em si não foram acessadas diretamente, mas reconheceu que parte significativa dos valores foi desviada a partir de instituições que operavam com a C&M. Como medida de contenção, o BC determinou o desligamento temporário das instituições à infraestrutura da C&M.
Cooperação com autoridades e investigações em curso
A C&M Software afirmou ser vítima direta do ataque, que envolveu o uso indevido de credenciais de clientes. A empresa declarou que seus sistemas críticos permanecem íntegros e que está colaborando com as investigações conduzidas pelo Banco Central, Polícia Federal e Polícia Civil de São Paulo.
O caso já é tratado por autoridades como o mais sofisticado ataque cibernético da história do setor financeiro nacional. A investigação busca identificar o ponto exato da falha, rastrear os valores desviados e estabelecer novos protocolos de segurança para transações eletrônicas em tempo real.
Impacto e perspectiva
Para analistas do mercado, o incidente acende um alerta urgente sobre os riscos de terceirização de funções críticas em um sistema que opera de forma ininterrupta. A expectativa é de que o episódio leve a uma revisão profunda dos modelos de conectividade, da governança de segurança das PSTIs e da capacidade de resposta a fraudes no ecossistema Pix.
Enquanto as investigações seguem em andamento, o caso já provoca reflexões no setor: até que ponto o sistema financeiro digital brasileiro está preparado para enfrentar ataques cada vez mais sofisticados, automatizados e velozes?
A resposta a essa pergunta poderá definir os rumos da segurança cibernética no país nos próximos anos.