Um ataque hacker de grandes proporções à C&M Software, empresa que conecta bancos e fintechs ao Banco Central (BC), escancarou vulnerabilidades críticas no sistema financeiro nacional. O caso, tratado nos bastidores como o “roubo do século”, já está sob investigação da Polícia Federal (PF) e da Polícia Civil de São Paulo.
Segundo informações apuradas por veículos como o Brazil Journal e Metrópoles, o golpe teria permitido o desvio de valores que podem ultrapassar R$ 1 bilhão. A operação dos criminosos envolveu o uso de credenciais legítimas de clientes da C&M para acessar o sistema de mensageria e iniciar transferências em cadeia por meio do Pix.
O que faz a C&M Software
A C&M é uma empresa especializada em serviços de tecnologia da informação (TI) voltados para instituições participantes do Pix. Ela atua como intermediária para bancos e fintechs que não têm conexão direta com o Sistema de Pagamentos Brasileiro (SPB).
Fundada em 1992 e homologada pelo BC, a C&M está entre as nove empresas autorizadas no país a oferecer esse tipo de serviço. A companhia confirmou que foi vítima direta de uma ação criminosa que envolveu o uso indevido de credenciais de clientes para acessar seus sistemas de forma fraudulenta.
Como foi a invasão
O ataque teria permitido que hackers acessassem contas de reserva mantidas por pelo menos seis instituições financeiras. Essas contas são utilizadas exclusivamente para liquidação interbancária, ou seja, para transferências entre instituições, sem envolvimento dos clientes finais.
De acordo com o diretor comercial da C&M, Kamal Zogheib, apesar do caso, todos os sistemas críticos da empresa permanecem “íntegros e operacionais” e as medidas de segurança previstas foram “integralmente executadas”.
“A CMSW confirma que colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Polícia Civil de São Paulo, nas investigações em andamento”, afirmou em nota.
Instituições impactadas e resposta do BC
Entre as instituições mais afetadas está a BMP, provedora de soluções de banking as a service (BaaS). A empresa confirmou que o ataque comprometeu exclusivamente os recursos de sua conta de reserva no BC, sem afetar clientes ou parceiros.
O BC chegou a determinar o desligamento do acesso das instituições às infraestruturas operadas pela C&M como medida de contenção, mas a suspensão cautelar foi substituída por uma suspensão parcial — o que significa que as operações da companhia ainda são controladas.
“A decisão foi tomada após a empresa adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes“, disse o BC, que ressaltou que seus próprios sistemas seguem íntegros e não foram invadidos.
Vale ressaltar que a lista das instituições atingidas não foi divulgada.
Polícia Federal assume investigação
O diretor-geral da PF, Andrei Rodrigues, confirmou a abertura de inquérito para apurar o ataque. A expectativa é que a apuração ganhe escala nacional, diante da complexidade da operação criminosa e do impacto potencial no sistema financeiro.
A investigação ocorre em conjunto com a Polícia Civil de São Paulo, inicialmente acionada pela própria C&M.
