O Brasil acaba de registrar o maior assalto da sua história, desta vez no universo digital. Um ataque cibernético à empresa C&M Software, fornecedora de soluções tecnológicas para o setor financeiro, resultou em um desvio estimado em R$ 1 bilhão. O caso foi confirmado nesta quarta-feira (2) pelo Banco Central.
O ataque ocorreu na tarde de terça-feira (1º) e teve como porta de entrada uma falha de segurança nos sistemas da C&M. A empresa, fundada em 1999, atua oferecendo infraestrutura para bancos, fintechs, cooperativas de crédito e instituições de pagamento — incluindo serviços no ecossistema de pagamentos instantâneos como o Pix.
Impacto no sistema financeiro
De acordo com nota oficial, o Banco Central determinou o desligamento imediato do acesso das instituições aos sistemas operados pela C&M, como medida de contenção. Segundo a autarquia, a empresa atua como intermediária para instituições que não possuem conexão direta com o sistema financeiro nacional.
O ataque comprometeu contas reserva mantidas por seis instituições, incluindo a BMP e a Credsystem. No caso da BMP, os recursos desviados estavam alocados em conta de liquidação junto ao próprio BC — o que, segundo a empresa, não afetou os clientes finais nem os saldos de contas correntes.
Prejuízo parcial já foi recuperado
Ainda de acordo com o site Seu Dinheiro, parte dos valores já foi rastreada e cerca de R$ 150 milhões teriam sido recuperados. No entanto, a maior parte do montante segue desaparecida.
PIX fora do ar e instabilidade
Instituições afetadas pelo ataque enfrentaram instabilidade nos sistemas, especialmente nas operações via Pix. A Credsystem, por exemplo, teve o serviço temporariamente interrompido por determinação do Banco Central, mas manteve as operações via TED normalmente.
Histórico e proporção do ataque
O caso supera em impacto o famoso assalto ao Banco Central de Fortaleza, em 2005, quando criminosos roubaram R$ 164,7 milhões em espécie. Também supera o caso do Itaú na Avenida Paulista, em 2011, estimado entre R$ 250 milhões e R$ 500 milhões.
Agora, com valor estimado em R$ 1 bilhão, o ataque à C&M Software se coloca como o maior roubo já registrado no Brasil e um dos maiores ataques cibernéticos do mundo.
Modelo BaaS e riscos
Um dos alvos do ataque, a BMP, é considerada a maior empresa de Banking as a Service (BaaS) do Brasil, atendendo mais de 80 fintechs e dezenas de empresas listadas na bolsa. Esse modelo permite que empresas de diversos setores ofereçam serviços financeiros, mas também amplia os pontos vulneráveis a ataques.
Investigações em andamento
As investigações sobre a autoria do ataque seguem em sigilo. O Banco Central reforçou que não há risco sistêmico para o sistema financeiro, mas especialistas alertam para a urgência de revisões de segurança digital entre prestadores de serviços financeiros.
