Um ataque hacker comprometeu a infraestrutura da C&M Software, empresa autorizada e supervisionada pelo Banco Central do Brasil (BC), resultando na subtração de aproximadamente R$ 1 bilhão do sistema financeiro nacional.
O caso, revelado inicialmente pelo Brazil Journal e detalhado pelo Cointelegraph Brasil, expôs vulnerabilidades críticas na integração entre instituições financeiras e a rede do Sistema de Pagamentos Brasileiro (SPB).
A C&M atua como operadora de soluções de mensagens financeiras que conectam bancos e fintechs ao SPB, viabilizando operações como TED, Pix, Débito Direto Autorizado (DDA) e outras formas eletrônicas de transferência.
Segundo nota enviada pela empresa ao jornal Valor Econômico, o ataque foi viabilizado por meio do uso indevido de credenciais de clientes, que permitiu acessos não autorizados aos serviços.
“A empresa é vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços”, afirmou a C&M.
A empresa ainda declarou que seus sistemas críticos continuam funcionando normalmente e confirmou estar colaborando com o Banco Central, a Polícia Civil de São Paulo e outras autoridades.
O Banco Central confirmou que o incidente se concentrou na infraestrutura da C&M, e como medida de contenção, determinou o desligamento do acesso de instituições financeiras aos sistemas operados pela empresa. Em nota, a autarquia destacou que “as contas de reserva não foram acessadas”, embora tenha reconhecido que uma parcela expressiva dos recursos foi desviada a partir de instituições conectadas à C&M.
Transferência e tentativa de conversão em criptomoedas
Após a execução do ataque, os criminosos iniciaram a movimentação dos valores para plataformas ligadas ao Pix, com o objetivo de converter os recursos para criptomoedas como USDT (Tether) e Bitcoin. As transações envolviam exchanges, gateways e mesas de negociação OTC (over-the-counter), usadas para evitar rastreabilidade.
Parte dessas operações foi detectada e bloqueada por operadores do setor. Rocelo Lopes, CEO da SmartPay e criador da carteira Truther, declarou ao Cointelegraph Brasil ter identificado atividade anômala às 00h18 do dia 30 de junho.
“Foram retidas grandes somas de dinheiro e, na mesma hora, foi feito o processo de devolução para as instituições envolvidas”, afirmou Lopes. Ele também confirmou ter elevado os filtros de segurança e disse estar à disposição das autoridades para colaborar nas investigações.
Apesar das ações corretivas, fontes do setor afirmam que parte dos valores foi efetivamente convertida em ativos digitais. “Basta acompanhar os endereços e verificar o volume das empresas na tarde de ontem para saber para onde parte dos valores foi desviado”, declarou uma fonte sob anonimato ao Cointelegraph.
De acordo com o portal, algumas mesas de OTC recusaram-se a operar transações vinculadas ao ataque e bloquearam tentativas de cadastro de usuários suspeitos. Ainda assim, o volume movimentado e o comportamento das transações sugerem uma estrutura organizada, com uso de contas simuladas e múltiplas camadas de lavagem de dinheiro.
Instituições atingidas e impacto no setor financeiro
O Brazil Journal reportou que seis instituições financeiras foram atingidas diretamente, entre elas a BMP e a Credsystem. A BMP confirmou que os recursos desviados estavam em sua conta de reserva no Banco Central, mas assegurou que “nenhum cliente da BMP foi impactado ou teve seus recursos acessados”.
A instituição também declarou que possui lastro suficiente para recompor integralmente os valores desviados, mantendo a normalidade das operações.
Fontes próximas à Polícia Federal consideram o episódio como o maior ataque hacker já registrado contra a infraestrutura do sistema financeiro brasileiro. O caso permanece sob investigação pelo Banco Central e pela PF, que trabalham para rastrear o destino final dos recursos e identificar os envolvidos.
O incidente levantou questionamentos sobre a segurança de serviços terceirizados essenciais para a operação do sistema financeiro nacional. Embora a C&M não detenha contas bancárias, sua função como intermediadora de mensagens financeiras a torna um ponto estratégico entre o Banco Central e centenas de instituições financeiras no país.
As investigações continuam e novas revelações são esperadas nos próximos dias, com foco na extensão do dano, nos métodos utilizados pelos criminosos e nas providências que poderão ser adotadas para mitigar riscos semelhantes no futuro.
