Ataque cibernético assusta setor financeiro; procurada, empresa disse que colabora ativamente com autoridades competentes, incluindo BC, nas investigações em andamento
Por Álvaro Campos, Lais Godinho, Tiago Angelo, Gabriel Shinohara e Daniela Braun, Valor — São Paulo e Brasília
02/07/2025 08h19 Atualizado há 4 horas
O sistema financeiro brasileiro viveu nesta semana um dos maiores ataques hackers da história. Criminosos exploraram uma vulnerabilidade da C&M Software, empresa que presta serviços para o setor e se conecta com a infraestrutura do Pix, e roubaram centenas de milhões de reais. Os volumes exatos não são claros, mas especialistas dizem que o caso deve levar o setor a rever suas política de risco e reforçar a segurança.
Na noite de terça-feira começaram a circular rumores no mercado sobre o ataque, que foi confirmado pela C&M e, posteriormente, pelo Banco Central (BC), nesta quarta-feira. Os criminosos teriam acessado contas reservas mantidas por cinco ou seis instituições financeiras junto ao BC, conseguindo desviar pelo menos R$ 400 milhões de uma delas, segundo revelado pela própria companhia. Boa parte do dinheiro foi convertido em criptoativos, e estimativas das principais casas do setor apontam para um volume maior, de cerca de R$ 570 milhões. Na indústria, há quem fale em valores de R$ 800 milhões, citando estimativas preliminares do próprio Banco Central.
A C&M foi fundada em 1999 por Orli Machado e é responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix. Ela atua como Provedor de Serviços de Tecnologia da Informação (PSTI), conectando instituições financeiras ao BC, por meio de uma conexão com a Rede do Sistema Financeiro Nacional (RFSN).
Procurada, a C&M disse que colabora ativamente com as autoridades competentes nas investigações em andamento. “A empresa é vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços. Por orientação jurídica e em respeito ao sigilo das apurações, a C&M não comentará detalhes do processo, mas reforça que todos os seus sistemas críticos seguem íntegros e operacionais e que as medidas previstas nos protocolos de segurança foram integralmente executadas.”
Fontes do setor afirmaram que a C&M foi imediatamente desconectada do ambiente do BC e as autoridades já começaram a realizar uma investigação sobre o ocorrido, incluindo reuniões com os envolvidos. Com essa desconexão da provedora, instituições financeiras que dependem da C&M para ofertar Pix aos seus clientes ficaram sem esse serviço.
Procurado, o BC informou apenas que “a C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O BC determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”. A autoridade não respondeu nenhum tipo de questionamento sobre os volumes afetados, potenciais vulnerabilidades do sistema Pix ou eventuais punições às instituições envolvidas.
O diretor-geral da Polícia Federal (PF), Andrei Passos Rodrigues, disse ao Valor que um inquérito seria aberto prontamente. “Estamos em contato com as empresas. Vamos investigar. Há notícia-crime em verificação. O inquérito deve ser instaurado ainda hoje”, afirmou.
Há relatos no setor que os primeiros indícios de problemas surgiram já na segunda-feira. “Quando a gente é assaltado, passa o primeiro momento tentando entender o que aconteceu. Mesmo os envolvidos ainda não tinham uma visibilidade clara do que tinha ocorrido”, comenta um interlocutor. Seja como for, participantes da indústria questionaram a segurança dos sistemas do BC. “Todos os bancos são obrigados a ter travas de volumetria, e o BC em si não tem. Como conseguem desviar pelo menos R$ 400 milhões e o sistema do BC não detectar risco de fraude?”, questiona uma fonte.
Uma pequena fração do dinheiro desviado teria sido recuperada pelas instituições afetadas, via o MED, mecanismo especial de devolução do Pix. O BC está trabalhando no MED 2.0, que permite rastrear os recursos roubados até mais camadas, já que os criminosos vão transferindo de um banco para o outro, mas isso ainda não está em vigor.
Para Kleber Carriello, engenheiro consultor sênior na Netscout Brasil, o ataque representa um ponto de inflexão para o setor financeiro. “Ele força uma reavaliação urgente das políticas de Gestão de Risco de Terceiros (TPRM), da segurança do modelo de Banking as a Service (BaaS) e da eficácia dos controles contra a lavagem de dinheiro na intersecção entre o sistema financeiro tradicional e os canais de criptoativos.”
Na visão de Alexander Coelho, sócio do Godke Advogados, embora o incidente acenda um alerta, não “coloca em xeque” a robustez do sistema. “O SPB e o Pix possuem múltiplas camadas de segurança. O que falhou foi uma ponte específica usada por alguns bancos.” Segundo ele, a responsabilidade recai primeiro sobre a integradora, por falhas na segurança.
As instituições financeiras podem responder se forem constatadas negligências na seleção, contratação e fiscalização da integradora. “As empresas que venderam os criptoativos a esses criminosos, sem cumprir diligências mínimas de KYC/AML [conheça seu cliente e combate à lavagem de dinheiro], podem ser responsabilizadas civil e penalmente”, acrescenta o advogado Victor Jorge, sócio do Jorge Advogados.
Entre as instituições afetadas, a BMP disse que nenhum cliente foi impactado ou teve seus recursos acessados. “No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no BC. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação”.
Já a credsystem disse que “o impacto direto nas operações se restringe apenas ao serviço de Pix, que está temporariamente fora do ar”. O Banco Paulista foi na mesma linha. “A falha foi externa, não comprometeu dados sensíveis nem gerou movimentações indevidas.” Outra três instituições cujos nomes circularam nos rumores de mercado não confirmaram que tenham sido alvo de qualquer tentativa
Reprodução: Valor Econômico
