O sistema financeiro brasileiro enfrentou um dos episódios mais graves de cibersegurança da história recente. Um ataque hacker direcionado à C&M Software, empresa responsável pela mensageria que interliga diversas instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), resultou na paralisação do Pix e em prejuízos bilionários para o setor bancário. Estima-se que os danos possam alcançar R$ 1 bilhão.
A C&M Software atua como elo técnico entre bancos e o Banco Central (BC), permitindo a realização de operações instantâneas, como transferências via Pix. Fundada em 1992, a empresa tornou-se fundamental no ecossistema digital de pagamentos. Por essa razão, o ataque teve efeitos em cadeia, atingindo pelo menos seis instituições financeiras, incluindo fintechs e bancos tradicionais.
Segundo informações divulgadas pelo jornal O Globo e pelo Brazil Journal, os hackers conseguiram explorar indevidamente credenciais de acesso de clientes para manipular transações financeiras. Houve, ainda, relatos de desvio direto de valores depositados em contas de reserva mantidas por instituições financeiras junto ao BC, sem que contas de clientes finais fossem violadas.
Uma das instituições mais afetadas foi a BMP, referência no modelo “banking as a service”. A empresa afirmou que o ataque atingiu exclusivamente sua conta reserva no BC e que não houve prejuízo aos seus clientes. A BMP destacou que possui colaterais suficientes para cobrir integralmente o valor impactado.
Já o Banco Paulista, outro atingido pela falha, declarou que o problema se originou de um provedor terceirizado, mas garantiu que os dados sensíveis dos clientes não foram comprometidos nem houve movimentações indevidas.
Apesar da cautela nos comunicados oficiais, o mercado especula que cada instituição pode ter sofrido perdas superiores a R$ 50 milhões, o que multiplica os impactos sobre o sistema financeiro como um todo. Ainda que o sistema Pix continue sendo uma plataforma robusta, o episódio expôs a vulnerabilidade de prestadores de serviços que integram o ecossistema bancário digital.
O Banco Central agiu rapidamente ao determinar o desligamento dos acessos operados pela C&M Software, como medida preventiva para conter a disseminação da ameaça e permitir uma investigação mais aprofundada. Além disso, a autarquia acompanha de perto a recuperação dos sistemas e colabora com a apuração dos fatos.
A Polícia Civil de São Paulo está à frente da investigação inicial, mas há expectativa de que a Polícia Federal também assuma o caso, dada sua dimensão nacional e o envolvimento de instituições de grande porte. A C&M informou estar colaborando com as autoridades e já executou os protocolos de segurança previstos.
O ataque reacendeu o debate sobre a segurança digital nas operações bancárias no Brasil. Embora os sistemas centrais do Banco Central e dos principais bancos permaneçam íntegros, o episódio reforça a necessidade de revisão urgente nos protocolos de proteção de empresas intermediárias sobretudo aquelas que, como a C&M, prestam serviços vitais de infraestrutura tecnológica.
Especialistas em cibersegurança classificaram o ataque como um “ponto de inflexão” no setor financeiro. Para o analista Eduardo Nascimento, o incidente evidencia que “a segurança das transações bancárias depende não apenas dos bancos e do BC, mas de todo o ecossistema de empresas parceiras”. Ele ressalta que empresas terceirizadas precisam estar submetidas a padrões de segurança mais rígidos e fiscalização mais frequente.
Outro fator preocupante é a ausência de clareza imediata sobre os danos totais. Até o momento, a C&M não confirmou publicamente os valores desviados, embora estimativas independentes sugiram que o montante possa superar os R$ 400 milhões em prejuízo direto. O restante poderia ser atribuído a perdas operacionais e à interrupção dos serviços especialmente via Pix em bancos e fintechs.
A Federação Brasileira de Bancos (Febraban) se manifestou brevemente, dizendo que monitora o caso com atenção e que “incidentes como esse demonstram a importância de protocolos colaborativos de segurança”. Internamente, cresce a pressão por uma revisão das regras de homologação de empresas que prestam serviços críticos ao sistema bancário.
O impacto imediato do ataque se refletiu em relatos de usuários que não conseguiram realizar transferências via Pix ao longo do dia. Empresas relataram dificuldades em honrar pagamentos e realizar transações rotineiras. Embora a maioria dos serviços já tenha sido restabelecida, a confiança nos bastidores operacionais do sistema foi abalada.
Em meio a uma economia cada vez mais digitalizada, o ataque à C&M Software serve de alerta sobre o quanto a arquitetura do sistema financeiro moderno depende de tecnologia segura e da integração perfeita entre instituições públicas e privadas. O Banco Central deve revisar, nos próximos dias, a regulação que envolve intermediários tecnológicos, enquanto o mercado já discute possíveis medidas emergenciais de compliance e segurança.
Este incidente, que já é chamado por alguns especialistas como “o maior ciberataque financeiro da história do país”, coloca em xeque a resiliência de instituições que, apesar de operarem nos bastidores, são fundamentais para o funcionamento de um sistema que movimenta bilhões em tempo real todos os dias.
