A C&M Software, empresa especializada na conexão entre instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB), confirmou nesta semana que foi alvo de um ataque hacker que comprometeu a operação do Pix em diversos bancos e fintechs. De acordo com o site Brazil Journal, o prejuízo total pode chegar a R$ 1 bilhão, com suspeita de que pelo menos R$ 400 milhões tenham sido desviados pelos criminosos.
.
O ataque expôs vulnerabilidades em um elo crucial do sistema financeiro nacional. Fundada em 1992, a C&M é responsável por soluções de mensageria para instituições sem infraestrutura própria de conexão com o SPB, inclusive com o ambiente de liquidação do Pix — sistema criado pelo Banco Central (BC) para permitir transferências instantâneas.
.
Em nota, a empresa afirmou ter sido “vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar seus sistemas e serviços de forma fraudulenta”. A C&M garantiu que todos os sistemas críticos seguem operacionais e que executou todos os protocolos de segurança. A companhia também disse estar colaborando com o Banco Central, Polícia Civil de São Paulo e outras autoridades. A Polícia Federal também já confirmou que abrirá inquérito para investigar o caso.
.
Interrupção de serviços e prejuízos
Segundo o O Globo, pelo menos seis instituições financeiras foram afetadas, com perdas médias superiores a R$ 50 milhões por banco. O Banco Paulista foi um dos que reportaram falha na operação do Pix por causa do provedor terceirizado, embora tenha afirmado que nenhum dado sensível foi comprometido.
.
Outra instituição impactada foi a BMP, fornecedora de serviços bancários digitais. A empresa afirmou que o ataque afetou somente recursos depositados em sua conta de reserva no Banco Central, sem envolvimento de clientes finais. Segundo a BMP, há colaterais suficientes para cobrir o prejuízo e a operação da empresa não foi comprometida.
“As contas de reserva acessadas de forma indevida são usadas exclusivamente para liquidação interbancária”, esclareceu a BMP em nota, destacando que nenhum cliente da instituição foi afetado.
.
Banco Central desliga conexão e inicia apuração
O Banco Central confirmou que a C&M Software comunicou o ataque e, como medida imediata, determinou o desligamento do acesso das instituições às infraestruturas operadas pela empresa, para evitar novos prejuízos e facilitar as investigações.
A C&M é uma das nove empresas homologadas pelo BC para prestar serviços de conexão ao Pix. O diretor comercial da empresa, Kamal Zogheib, reforçou que a C&M está colaborando com as investigações e que não comentará detalhes por orientação jurídica, mas destacou que a empresa mantém “todos os sistemas críticos íntegros e operacionais”.
.
Investigação e impactos
A Polícia Federal deve assumir a frente da investigação nos próximos dias. O ataque levanta questionamentos sobre a segurança dos intermediários que conectam o sistema bancário ao Banco Central — parte fundamental do funcionamento do Pix.
Embora o ataque não tenha atingido diretamente os correntistas, o episódio evidenciou a necessidade de revisão nos protocolos de segurança cibernética e no modelo de atuação de empresas terceirizadas no ambiente financeiro nacional.
A expectativa agora é que novas diretrizes e exigências técnicas sejam adotadas pelo BC para evitar que brechas como essa possam ser exploradas futuramente. Até o momento, os nomes das instituições afetadas não foram divulgados oficialmente.
