Ataque Hacker à C&M Software Pode Ter Causado Prejuízo Superior a R$ 1 Bilhão, Afirma Polícia
Um ataque cibernético à C&M Software, empresa que conecta instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix, resultou em um prejuízo estimado em mais de R$ 1 bilhão, segundo a Polícia Civil de São Paulo. O caso, considerado um dos maiores golpes cibernéticos da história do sistema financeiro brasileiro, envolveu o desvio de recursos de contas reserva de pelo menos seis instituições financeiras, com novas denúncias sugerindo que mais bancos foram afetados.
Detalhes do Ataque
O ataque, ocorrido na madrugada de 30 de junho de 2025, explorou vulnerabilidades nos sistemas da C&M Software, utilizando credenciais legítimas de clientes para acessar contas reserva mantidas no Banco Central (BC). Inicialmente, estimativas apontavam um desvio de cerca de R$ 800 milhões, mas o delegado Paulo Eduardo Barbosa, da Delegacia de Crimes Cibernéticos (DCCibre), revelou que o prejuízo pode ultrapassar R$ 1 bilhão. “Tínhamos o valor de R$ 541 milhões da BMP, mas outros bancos reportaram perdas de R$ 104 milhões e R$ 49 milhões, e o número pode crescer”, afirmou Barbosa em entrevista ao Valor Econômico.
Envolvimento de Funcionário e Prisão
A investigação levou à prisão de João Nazareno Roque, ex-funcionário da C&M Software, acusado de facilitar o ataque ao fornecer acesso a sistemas sigilosos. Segundo a Polícia Civil, Roque teria recebido R$ 15 mil para compartilhar credenciais, permitindo que hackers realizassem transferências fraudulentas via Pix. A prisão temporária de Roque, inicialmente de cinco dias, foi convertida em preventiva, sem prazo definido, e o caso agora tramita na 1ª Vara de Crimes Tributários, Organização Criminosa e Lavagem de Bens e Valores em São Paulo. A defesa de Roque alega que ele foi vítima, mas a versão ainda será confrontada.
Impacto nas Instituições Financeiras
Entre as instituições afetadas estão a BMP, Credsystem e Banco Paulista, com a BMP reportando um prejuízo de R$ 541 milhões em sua conta reserva no BC. As contas reserva, usadas exclusivamente para liquidações interbancárias, não comprometeram recursos de clientes, conforme garantiram as empresas. A BMP afirmou que possui colaterais suficientes para cobrir o valor impactado, enquanto o Banco Paulista destacou que a falha não gerou movimentações indevidas. A Credsystem, por sua vez, teve o serviço de Pix temporariamente suspenso. Algumas instituições, temendo danos reputacionais, optaram por não notificar a polícia, o que pode indicar subnotificação do prejuízo total.
Rastreamento do Dinheiro e Criptoativos
Parte dos valores desviados foi convertida em criptoativos, como Bitcoin e USDT, dificultando o rastreamento. A Polícia Civil, em parceria com o Ministério Público, conseguiu bloquear R$ 15 milhões em criptomoedas, mas recuperar quantias transferidas para carteiras frias é um desafio. “Se o dinheiro foi usado para comprar propriedades ou veículos, podemos pedir o sequestro, mas criptoativos complicam a recuperação”, explicou o delegado Barbosa. Especialistas apontam que o uso de exchanges e sistemas de swap integrados ao Pix facilitou a movimentação rápida dos recursos.
Resposta do Banco Central e Medidas de Segurança
O Banco Central determinou o desligamento imediato do acesso da C&M Software às infraestruturas do SPB após o ataque, substituído por uma suspensão parcial em 3 de julho, após a empresa adotar medidas de mitigação. A C&M afirmou que seus sistemas críticos permanecem íntegros e que colabora com o BC, a Polícia Civil e a Polícia Federal nas investigações. O ataque, classificado como um “supply chain attack”, explorou credenciais comprometidas de clientes, sem invasão direta aos sistemas da empresa. O incidente expôs a necessidade de revisar políticas de segurança cibernética e gestão de riscos de terceiros no setor financeiro.
Implicações e Próximos Passos
O ataque à C&M Software destaca a vulnerabilidade de empresas que intermediam transações no sistema financeiro brasileiro, especialmente aquelas que conectam instituições menores ao Pix. A Polícia Federal abriu um inquérito para identificar o grupo por trás do golpe, que pode ter ligações internacionais, embora seja majoritariamente formado por brasileiros, segundo Barbosa. O caso reforça a urgência de investimentos em cibersegurança e controles mais rigorosos para proteger o ecossistema financeiro, especialmente diante da sofisticação de ataques que convertem valores em criptoativos para dificultar o rastreamento.
Da redação com informações de Valor Econômico [XGR-XAI-14072025-0855-G3M]