Em um dos maiores episódios de cibercrime já registrados no país, hackers invadiram a infraestrutura digital da C&M Software, uma das principais parceiras do Banco Central do Brasil em conectividade bancária, e roubaram cifras que podem ultrapassar R$ 1 bilhão. O caso, que já está sob investigação da Polícia Federal, acende o alerta sobre a vulnerabilidade tecnológica do sistema financeiro nacional e lança dúvidas sobre a solidez dos mecanismos de segurança que sustentam operações tão vitais quanto o PIX e as movimentações de contas reservas.
O ataque aconteceu em junho e foi rapidamente classificado por especialistas como “o maior roubo digital da história do Brasil”. De acordo com as reportagens da IstoÉ Dinheiro, Metrópoles, Tecnoblog, MoneyTimes, Seu Dinheiro e Cointelegraph, o alvo foi a C&M Software, empresa que serve como intermediária entre bancos, fintechs e o Sistema de Pagamentos Brasileiro (SPB), operando também a conectividade com o Banco Central — o que inclui, por exemplo, a liquidação diária de operações e a manutenção das chamadas contas reservas que instituições precisam ter junto ao BC.
O modus operandi dos invasores
As primeiras apurações apontam que os hackers teriam usado credenciais vazadas para acessar os sistemas críticos da C&M Software, burlando camadas de autenticação e assim comprometendo o ambiente que garante o tráfego seguro de dados e ordens financeiras. Com isso, conseguiram autorização para movimentar recursos que estavam em contas reservas — fundos essenciais que bancos e instituições de pagamento devem manter como lastro de suas operações.
Parte desse dinheiro foi rapidamente direcionada a contas laranjas e convertido em criptomoedas como Bitcoin (BTC) e USDT (Tether), numa tentativa de dificultar o rastreamento e dar vazão aos valores fora do radar bancário tradicional. Exchanges nacionais, no entanto, já começaram a colaborar com as autoridades e bloquearam operações suspeitas, o que pode significar algum percentual recuperado no curto prazo.
Mesmo assim, estima-se que o prejuízo total supere R$ 1 bilhão, embora parte dos especialistas fale em valores ainda na faixa dos R$ 400 milhões, até que todas as movimentações sejam auditadas. O fato concreto: é um rombo bilionário, com desdobramentos ainda imprevisíveis.
Impacto direto e indireto no PIX e nas instituições
Logo após a detecção da fraude, o Banco Central ordenou a suspensão imediata da conexão da C&M com o SPB, o que impactou na operação normal de alguns bancos e fintechs. Houve relatos de intermitência no PIX, que ficaram restritos a algumas horas em determinadas instituições, mas não se chegou a afetar o saldo ou as contas de pessoas físicas diretamente.
O BC afirmou em nota oficial que o ataque foi focado nas contas reservas mantidas por instituições financeiras dentro do sistema, sem violar dados dos correntistas comuns. Mesmo assim, o temor se espalhou: se um player tão estratégico como a C&M pôde ser comprometido dessa maneira, até onde vai a real segurança da arquitetura bancária digital brasileira?
Além disso, pequenas instituições, especialmente bancos médios que dependem desses sistemas terceirizados para se conectar ao Banco Central, ficaram temporariamente sem acesso a liquidações diárias, o que pode ter afetado fluxo de caixa e operações de crédito pontuais.
O que diz a C&M Software e o Banco Central
A C&M Software divulgou um comunicado afirmando que já está colaborando integralmente com as investigações da Polícia Federal e que reforçou todos os seus protocolos de segurança. A empresa, que tem mais de 30 anos de mercado, salientou que ataques cibernéticos são um risco global e prometeu total transparência no processo.
Já o Banco Central foi além: determinou o bloqueio imediato de acessos, revisou credenciais e iniciou auditorias profundas para entender se houve outras brechas. Também fez questão de frisar que não há evidências de que dados pessoais de correntistas tenham sido vazados ou que o PIX, como plataforma, tenha sido diretamente invadido.
O crime perfeito? Nem tanto
Apesar da ousadia do ataque, a tentativa de “lavar” o dinheiro rapidamente por meio de criptomoedas pode não ser tão bem-sucedida. Grandes exchanges já receberam notificações para rastrear ativos provenientes de endereços suspeitos ligados ao roubo. O próprio mercado global de blockchain tem avançado muito nos sistemas de compliance, e ferramentas de blockchain analytics conseguem seguir o caminho do dinheiro digital com precisão crescente.
Além disso, instituições financeiras afetadas pelas ordens fraudulentas começaram processos judiciais para tentar reter valores transferidos antes que eles cruzem fronteiras definitivamente. Isso pode reduzir parcialmente o prejuízo, mas especialistas advertem: dificilmente todo o montante será recuperado.
Lições (não) aprendidas
Esse ataque não é um ponto fora da curva. Em 2023 e 2024, o Brasil já havia registrado incidentes sérios de vazamentos de dados bancários, inclusive dentro do ambiente Open Finance. O que diferencia o caso da C&M é o tamanho da cifra e o fato de ter atingido diretamente o elo que conecta bancos ao Banco Central, o coração do sistema.
Especialistas em segurança digital apontam que a terceirização excessiva — ou seja, a dependência de empresas intermediárias para acessar infraestruturas críticas — cria vulnerabilidades que nem sempre são auditadas com o rigor que o setor exige. É o chamado risco sistêmico invisível: todos confiam no elo terceirizado, mas poucos sabem avaliar de fato se ele está blindado contra ataques sofisticados.
E o Brasil? Ainda despreparado
Se por um lado o país avançou com o PIX, o Open Finance e o Drex (o projeto do real digital) colocando-se na vanguarda dos sistemas de pagamento mundiais, por outro ainda carece de políticas robustas de cibersegurança nacional. Empresas pequenas e médias do setor bancário, por exemplo, muitas vezes não dispõem de equipes internas de segurança e confiam cegamente nos softwares homologados.
Além disso, o crime cibernético transnacional — envolvendo carteiras cripto, intermediários em paraísos fiscais e quadrilhas espalhadas em múltiplos países — exige protocolos internacionais de cooperação que ainda são lentos ou burocráticos. Resultado: fraudes gigantescas que demoram anos para serem, se não revertidas, ao menos mitigadas.
O que esperar daqui para frente
- Polícia Federal vai continuar rastreando endereços cripto e seguindo trilhas digitais.
- O Banco Central promete auditorias mais duras em empresas terceirizadas que operam como pontes com o SPB.
- Bancos e fintechs já estão revendo contratos e exigindo compliance avançado de seus fornecedores.
- E o consumidor final? Por ora não terá impacto direto, mas a confiança no sistema — e o custo futuro para reforçar a segurança — fatalmente acabará repassado de alguma forma.
No fim das contas…
Este ataque serve como um alerta monumental: não importa quão digitalizado ou “moderno” esteja o sistema bancário de um país, sempre haverá brechas exploráveis quando falta governança, auditoria independente e fiscalização severa de quem, de fato, movimenta o dinheiro por trás das cortinas.
O caso da C&M Software e do roubo bilionário ligado ao Banco Central escancara que o Brasil precisa correr contra o tempo, não só para recuperar o dinheiro, mas para provar que seu sistema financeiro pode ser tão seguro quanto se vende ao mundo.
