O cenário de segurança digital no Brasil passou por um episódio marcante após o ataque hacker direcionado à C&M Software, empresa especializada em soluções de mensageria para o setor financeiro. O incidente, ocorrido na terça-feira (1/7), destacou vulnerabilidades significativas em sistemas críticos e trouxe à tona discussões sobre a proteção de dados e a resiliência das infraestruturas operadas por instituições responsáveis pelo Sistema de Pagamentos Brasileiro (SPB).
Segundo informações do Metrópoles, um funcionário da C&M Software foi preso na noite de quinta-feira (3/7) pela Polícia Civil de São Paulo, sob suspeita de envolvimento em um ataque hacker à companhia. As investigações estão sendo conduzidas pelo Departamento Estadual de Investigações Criminais (Deic), enquanto a Polícia Federal também apura o caso em um inquérito paralelo.
Como ocorreu o ataque hacker à C&M Software?
▶️ Veja momento em que suspeito por ataque hacker é preso em SP
— Metrópoles (@Metropoles) July 4, 2025
Homem trabalha em empresa que presta serviço para bancos. Ele confessou que, pela máquina dele, deu acesso aos hackers a sistema sigiloso
Leia: https://t.co/fh6FTuIKjt pic.twitter.com/e0zS7DMb9D
João Nazareno Roque, empregado da C&M, admitiu ter facilitado o acesso dos criminosos ao sistema interno da empresa por meio de seu próprio computador. A invasão comprometeu o sistema de mensageria do Sistema de Pagamentos Brasileiro (SPB), afetando diretamente operações do Pix e revelando vulnerabilidades na segurança digital do setor. As perdas financeiras decorrentes do ataque hacker podem chegar a R$ 3 bilhões.
O ataque hacker realizado à C&M Software chamou atenção devido à complexidade e ao impacto financeiro envolvido. Os invasores, ao acessar os sistemas internos mediante a colaboração do funcionário, conseguiram explorar brechas e redirecionar recursos financeiros de instituições conectadas à empresa. Entre as organizações afetadas, destacou-se a BMP, uma provedora de serviços bancários digitais que opera conexões críticas dentro do Sistema de Pagamentos Brasileiro, incluindo o Pix.
Segundo informações coletadas pelas autoridades, os criminosos teriam conseguido desviar inicialmente cerca de R$ 400 milhões, montante que poderia ultrapassar a marca de R$ 3 bilhões, considerando tentativas e operações ainda sob análise. O Departamento Estadual de Investigações Criminais (Deic) de São Paulo, que lidera as apurações, trabalha em cooperação com a Polícia Federal para dimensionar os danos e rastrear os responsáveis pelo ataque.
Como o ataque impactou o sistema financeiro?
O episódio provocou uma reação imediata tanto por parte da C&M Software quanto das autoridades regulatórias. A empresa comunicou, por meio de nota oficial, que seus sistemas críticos permaneciam operacionais, reforçando o compromisso em colaborar com o Banco Central e as polícias envolvidas para mitigar riscos e prevenir futuros incidentes.
Como medida preventiva, o Banco Central determinou o desligamento temporário das conexões entre a C&M Software e as instituições afetadas, buscando minimizar possíveis impactos em cadeia. A BMP, especificamente, afirmou que apenas fundos de sua conta reserva junto ao Banco Central foram afetados, e nenhum cliente final sofreu prejuízo direto. Essas ações evidenciaram preocupações crescentes sobre o papel das empresas especializadas em mensageria e a necessidade de mecanismos robustos de segurança digital para o ambiente financeiro nacional.
- Acesso não autorizado a contas de reserva: Pelo menos seis instituições financeiras, incluindo BMP e Credsystem, tiveram acesso não autorizado às suas contas de reserva mantidas no Banco Central. Embora a C&M afirme que seus sistemas críticos permaneceram intactos, o incidente envolveu o uso indevido de credenciais de clientes para tentar acessar seus sistemas e serviços.
- Desconexão temporária de serviços: O Banco Central do Brasil ordenou que a C&M Software suspendesse o acesso das instituições financeiras à infraestrutura que gerencia, causando interrupções temporárias em alguns serviços, como o Pix, para as empresas afetadas.
- Prejuízos financeiros: Embora as estimativas variem, fontes de mercado indicam que o prejuízo pode ter chegado a centenas de milhões de reais, com algumas especulações apontando para valores de até R$ 1 bilhão ou mais. No entanto, é importante notar que as instituições afetadas afirmaram ter colchões de segurança para cobrir os valores e que não houve impacto direto nas contas de clientes finais.
- Transferência de fundos para criptoativos: Há fortes indícios de que os valores desviados foram rapidamente transferidos para contas de criptoativos (como Bitcoin e Tether), uma estratégia comum de hackers para dificultar o rastreamento do dinheiro.
- Exposição da fragilidade da infraestrutura de terceiros: O incidente ressaltou a vulnerabilidade do sistema financeiro que depende de provedores de tecnologia terceirizados, especialmente para instituições menores que não possuem conexão direta com o Banco Central. Isso levou a um alerta para que bancos, fintechs e empresas de tecnologia priorizem a cibersegurança como um assunto estratégico.
- Aumento da fiscalização e novos requisitos de segurança: O Banco Central e a Polícia Federal estão investigando o caso. É esperado que o incidente leve a novos requisitos mínimos obrigatórios de segurança para o uso de APIs, acesso a canais e integração de sistemas, com políticas de homologação mais rigorosas para provedores de serviços.
- Questionamento sobre a credibilidade e segurança: O ataque levanta preocupações sobre a segurança do ecossistema digital de pagamentos no Brasil e a capacidade das instituições em proteger seus sistemas e os fundos, mesmo que os clientes finais não tenham sido diretamente afetados neste caso.
Quais lições foram aprendidas após o caso C&M Software?
Após um ataque hacker dessa magnitude, o setor financeiro passou a revisitar práticas de segurança e gestão de acessos internos, dando atenção especial à formação continuada de profissionais e ao rigor nos protocolos de autenticação. Especialistas em segurança cibernética passaram a recomendar políticas mais rígidas para monitoramento de atividades suspeitas, além de sistemas automatizados capazes de identificar anomalias no acesso a redes críticas.
- Auditoria constante: Adoção de processos regulares para avaliar vulnerabilidades e corrigir falhas técnicas ou humanas.
- Capacitação dos colaboradores: Treinamentos frequentes sobre riscos associados ao manuseio de dados sensíveis e simulações de tentativas de fraude.
- Investimento em tecnologia: Implementação de soluções avançadas de autenticação e monitoramento de acessos em tempo real.
- Parceria com autoridades: Colaboração ativa entre empresas do segmento financeiro, órgãos reguladores e forças policiais para prevenção e resposta rápida a incidentes.
Com o episódio envolvendo a C&M Software, ficou evidente que a proteção das infraestruturas digitais não depende apenas de barreiras tecnológicas, mas também da conscientização e do comprometimento de todos os profissionais envolvidos. A busca contínua por melhorias contribui para fortalecer a confiança no sistema financeiro e reduzir os riscos de novos ataques, garantindo maior segurança para empresas e usuários dos serviços bancários eletrônicos.
