Hacker desvia R$ 1 bilhão em ataque a empresa que conecta instituições financeiras ao Pix

Um ataque hacker de grandes proporções atingiu a C&M Software, empresa brasileira responsável por intermediar a conexão de bancos ao Sistema de Pagamentos Brasileiro (SPB), que inclui o Pix. Estima-se que cerca de R$ 1 bilhão tenham sido desviados de contas reservas mantidas no Banco Central, tornando essa ação criminosa a maior já registrada contra o setor financeiro no país. O serviço Pix chegou a ser temporariamente interrompido por motivos de segurança.

Empresa conectava instituições ao sistema do Banco Central

A C&M Software atua oferecendo suporte tecnológico para que instituições de pequeno porte — como bancos, cooperativas e sociedades de crédito — consigam acessar o ambiente do Pix, mesmo sem infraestrutura própria. De acordo com o jornal O Globo, a empresa fazia a ponte com ao menos 22 instituições.

Criminosos acessaram sistema com credenciais vazadas

O ataque ocorreu na madrugada de segunda-feira (30/06), mas o Banco Central só foi informado no dia seguinte. A Polícia Federal já abriu inquérito para investigar crimes como invasão de dispositivo informático, fraude, lavagem de dinheiro e formação de organização criminosa. Segundo apuração da Folha de São Paulo, os hackers usaram logins e senhas de clientes da C&M para acessar os sistemas e realizar transações fraudulentas. Parte dos valores foi convertida em criptomoedas por meio da plataforma SmartPay, que conseguiu bloquear algumas operações e recuperar uma fração dos recursos — estima-se cerca de 2% do total.

Clientes comuns não foram afetados

As contas invadidas eram contas reservas, usadas exclusivamente pelas instituições financeiras para cumprir exigências legais do Banco Central, como liquidez e transferências interbancárias. Essas contas não contêm recursos de clientes pessoa física, ou seja, depósitos de usuários comuns do Pix não foram atingidos.

Suspensão temporária do Pix foi por segurança

Para conter os danos e impedir a continuidade do ataque, o Banco Central bloqueou o acesso da C&M Software ao SPB. Com isso, as instituições conectadas à empresa ficaram temporariamente impedidas de operar o Pix, o que afetou momentaneamente os serviços oferecidos a seus clientes. A medida foi tomada por precaução.

Pelo menos seis instituições foram atingidas

Ainda não há confirmação oficial de todas as instituições afetadas, mas pelo menos seis já relataram prejuízo. Entre elas está a BMP, que informou ter tido recursos desviados de sua conta reserva no BC. Segundo nota, a empresa tem garantias suficientes para cobrir os valores perdidos, sem impactos para seus parceiros. O Banco Paulista também confirmou o ataque e relatou suspensão temporária no Pix, mas afirmou que as contas de seus clientes não foram comprometidas.

C&M diz que sistemas continuam operacionais

A C&M Software declarou ter sido vítima direta da invasão e que houve "uso indevido de credenciais de clientes". A empresa afirmou que todos os seus sistemas críticos continuam operacionais e que os protocolos de segurança foram acionados imediatamente. Contudo, por orientação jurídica e para preservar o sigilo das investigações, evitou comentar detalhes sobre o caso.

Analistas indicam que, se for comprovada falha nos sistemas de segurança da C&M, a empresa poderá ser responsabilizada pela devolução dos valores desviados às instituições afetadas.