Sua Empresa

Cerca de R$ 1 bilhão foram desviados em um ataque cibernético que afetou contas de clientes da C&M Software, empresa responsável por conectar instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente do Pix. O caso, revelado no início desta semana, representa a maior fraude hacker já registrada no setor bancário nacional, segundo o Grupo FS, empresa especializada em segurança digital.

O ataque foi detectado na madrugada de segunda-feira (30), mas o Banco Central (BC) só foi comunicado na terça-feira (1º). A Polícia Federal abriu inquérito na quarta-feira (2) para investigar o incidente. Ainda não há confirmação oficial sobre o número exato de instituições afetadas nem sobre o valor total recuperado.

Como ocorreu o ataque e quem foi atingido

Segundo fontes próximas ao caso, cerca de R$ 500 milhões desviados pertenciam a apenas uma cliente da C&M Software. Ao todo, oito instituições foram afetadas, com envolvimento de mais de 40 contas fraudulentas.

A empresa atacada atua como prestadora de serviços de tecnologia da informação, responsável por intermediar operações entre bancos e o SPB, incluindo transações feitas via Pix. Entre seus clientes estão grandes instituições financeiras como Bradesco e XP, que afirmaram não ter sido impactadas.

Em nota, o Banco Central informou que o ataque comprometeu a infraestrutura tecnológica da empresa. Como medida preventiva, o BC determinou o desligamento imediato do acesso das instituições às infraestruturas operadas pela C&M.

Pix não foi comprometido, mas desvio é bilionário

Apesar da gravidade da situação, o Banco Central afirmou que o ataque não comprometeu diretamente a infraestrutura do Pix, que segue operando normalmente. No entanto, o incidente afetou contas reservas e contas PI (Pagamentos Instantâneos) mantidas no BC por instituições financeiras para dar liquidez às transações via Pix.

Essas contas são de uso obrigatório para bancos comerciais e outras instituições, servindo como mecanismo de liquidação interbancária. A invasão, portanto, não envolveu contas de usuários finais, mas impactou as instituições participantes do sistema.

O BC estima que apenas cerca de 2% do valor total desviado foi recuperado até o momento, mas o número ainda está sendo apurado pela equipe técnica.

Criptomoedas teriam sido usadas para lavar os valores

Parte dos recursos desviados foi rapidamente convertida em criptomoedas por meio da fintech SmartPay, que atua na integração entre o Pix e plataformas de criptoativos.

De acordo com Rocelo Lopes, CEO da SmartPay, a empresa identificou movimentações atípicas a partir da 0h18 de domingo (30), especialmente compras de Tether (USDT) e Bitcoin. Após identificar o padrão suspeito, a empresa bloqueou operações e iniciou procedimentos para estorno de valores.

“Foram retidas grandes somas de dinheiro, e iniciamos imediatamente o processo de devolução para as instituições envolvidas”, afirmou Lopes. A fintech não divulgou quanto conseguiu recuperar.

Empresas afetadas detalham impacto do ataque

O diretor comercial da C&M Software, Kamal Zogheib, informou que os criminosos utilizaram credenciais legítimas de clientes (usuário e senha) para tentar acessar os sistemas. Segundo ele, todos os sistemas críticos da empresa permanecem operacionais e a C&M colabora com as investigações conduzidas pelo Banco Central e pela Polícia Civil de São Paulo.

A prestadora de serviços financeiros BMP, uma das empresas afetadas, confirmou que contas reservas de seis instituições foram comprometidas, incluindo a da própria companhia. A empresa afirma que nenhum cliente final foi prejudicado e que possui colaterais suficientes para cobrir integralmente o valor afetado.

A credsystem, também cliente da C&M Software, informou que o ataque afetou apenas seu serviço de Pix, que foi desativado temporariamente por determinação do BC. Os demais serviços, como TED, continuam funcionando normalmente.

Responsabilidade pode recair sobre a empresa de tecnologia

O advogado Victor Solla Jorge, do escritório Jorge Sociedade de Advogados, afirma que, caso fique comprovada falha de segurança por parte da C&M Software, a empresa poderá ser responsabilizada financeiramente pelos prejuízos causados.

“Ao atuar como provedora de serviços de tecnologia da informação, a empresa não é obrigada, como um banco, a manter depósitos de garantia. No entanto, pode ter apólices de seguro que cubram esses riscos”, explicou Jorge.

O especialista também ressaltou que será necessário apurar se houve negligência por parte das instituições financeiras envolvidas no cumprimento das diretrizes de segurança do sistema Pix, estabelecidas pelo Banco Central.

Investigação está em andamento e recursos seguem bloqueados

Em nota oficial, a C&M Software informou que segue colaborando com as autoridades competentes e que, por orientação jurídica e respeito ao sigilo das apurações, não comentará detalhes sobre o caso. A empresa afirma ter executado todos os protocolos de segurança previstos.

Como parte das instituições ficaram sem acesso à infraestrutura do Pix após o desligamento da empresa de tecnologia, os valores recuperados estão sendo devolvidos por outros meios, como TED. No entanto, até o momento, nenhuma quantia foi efetivamente restituída às instituições.

O incidente acende um alerta no setor financeiro sobre a segurança de empresas terceirizadas que atuam como intermediárias em transações sensíveis. Embora o sistema Pix não tenha sido comprometido diretamente, o caso mostra a fragilidade da cadeia tecnológica em torno das operações bancárias.

O que muda para contadores, empresas e instituições financeiras

O episódio reforça a importância de protocolos de segurança digital e da escolha criteriosa de prestadores de serviço que atuam na integração de sistemas financeiros. Profissionais da contabilidade que operam diretamente com conciliação bancária e gestão de fluxo de caixa devem estar atentos à segurança dos ambientes que utilizam para realizar transações via Pix.

Além disso, instituições financeiras e fintechs poderão ser obrigadas a revisar suas políticas de segurança e seus contratos com empresas terceirizadas, especialmente em relação à responsabilidade por fraudes e a existência de garantias financeiras.

Com informações adaptadas da Folha de S. Paulo