Ataque hacker a empresa ligada ao Pix pode ter causado prejuízo de até R$ 1 bilhão

Um ataque cibernético de grandes proporções atingiu a C&M Software, empresa que presta serviços tecnológicos para o sistema financeiro, especialmente no que se refere à operação do Pix e à interligação com o Sistema de Pagamentos Brasileiro (SPB). A ação criminosa foi divulgada na noite de terça-feira (1º) e já é considerada uma das maiores do setor no Brasil.

De acordo com apuração do Estadão/Broadcast, o prejuízo pode ultrapassar R$ 800 milhões, podendo chegar a R$ 1 bilhão. A Polícia Federal, a Polícia Civil de São Paulo e o Banco Central estão investigando o caso.

Como ocorreu o ataque

Segundo informações preliminares, os hackers usaram credenciais indevidas de clientes da C&M como porta de entrada para invadir o sistema e tiveram acesso a contas-reserva mantidas no Banco Central por seis instituições financeiras. Entre elas, estão a fintech BMP e a Credsystem.

Essas contas são utilizadas exclusivamente para liquidação de operações interbancárias, não envolvendo contas ou saldos de clientes finais. Por esse motivo, as empresas afetadas garantem que nenhum correntista sofreu qualquer prejuízo direto.

Em nota, o Banco Central confirmou o ataque e informou que determinou o desligamento das instituições afetadas da infraestrutura operada pela C&M. A autoridade monetária também garantiu que não houve dano ao sistema financeiro como um todo.

Empresas se pronunciam

A fintech BMP declarou que tem recursos suficientes para cobrir integralmente os valores envolvidos sem comprometer sua operação, destacando que “nenhum cliente foi impactado”. A empresa reforçou seu compromisso com a integridade do sistema financeiro e a transparência.

Já a Credsystem informou que o impacto do ataque se restringiu ao serviço de Pix, que está temporariamente fora do ar por determinação do Banco Central. A empresa está colaborando com as investigações e com o restabelecimento do serviço.

Hackers usaram criptoativos para esconder rastros

Especialistas em segurança digital acreditam que os valores desviados foram rapidamente convertidos em criptoativos, como bitcoin e tether (moeda estável pareada ao dólar), numa tentativa de dificultar o rastreamento.

A SmartPay, empresa responsável pela carteira de autocustódia Truther, detectou movimentações atípicas nas primeiras horas da última segunda-feira (30) e bloqueou os valores suspeitos, que posteriormente foram devolvidos às instituições envolvidas.

Rocelo Lopes, CEO da SmartPay, afirma que o padrão da ação indica um ataque sofisticado e bem planejado, com foco em liquidez rápida e anonimato por meio de criptomoedas.

Alerta para o setor financeiro

O caso acendeu um sinal de alerta em todo o setor financeiro. Para o consultor de compliance e cibersegurança Paulo Suzart, o episódio reforça a necessidade de tratar a segurança digital como prioridade estratégica nas instituições.

“É um alerta severo para bancos, fintechs e empresas de tecnologia. Segurança digital precisa estar nas mesas dos conselhos e nos planos de continuidade de negócios”, afirmou.

A C&M Software disse estar colaborando com todas as autoridades envolvidas e destacou que todas as medidas previstas em seus protocolos de segurança foram executadas diante do ataque.

O caso segue sob investigação e levanta novas discussões sobre os riscos da interconexão digital no sistema financeiro brasileiro.