A Polícia Federal abriu inquérito para investigar um ataque hacker de grande escala contra a empresa C&M Software, responsável por conectar bancos ao Sistema de Pagamentos Brasileiro (SPB), do Banco Central. Segundo fontes próximas da investigação, o prejuízo pode alcançar até R$ 1 bilhão, afetando diretamente as chamadas contas reserva de seis instituições financeiras.
C&M: a empresa por trás dos bastidores do sistema financeiro
A C&M Software é uma empresa de tecnologia que presta serviços a bancos de pequeno e médio porte, operando como ponte entre essas instituições e o Banco Central. Por meio dela, transações via PIX, TEDs e outras integrações com o SPB são processadas. Embora não opere diretamente com dados de clientes finais, a empresa acessa informações sensíveis e sistemas internos críticos do sistema bancário nacional.
O ataque: acesso indevido e uso fraudulento de contas bancárias institucionais
Segundo nota oficial da C&M, os criminosos usaram indevidamente credenciais de clientes para acessar a infraestrutura da empresa e realizar movimentações ilegais. A falha permitiu o acesso às contas reserva de seis bancos — contas institucionais exigidas pelo Banco Central para operações interbancárias. Importante destacar que essas contas não se confundem com as contas de clientes pessoas físicas ou jurídicas.
A BMP e o Banco Paulista confirmaram ter sido vítimas da operação. A BMP afirma que adotou todas as medidas legais e operacionais cabíveis e que possui reserva suficiente para cobrir integralmente o valor subtraído. Já o Banco Paulista afirmou que houve apenas interrupção temporária no serviço do PIX e negou qualquer movimentação indevida ou exposição de dados sensíveis.
Banco Central reage e desliga acesso da empresa
Após a confirmação do ataque, o Banco Central determinou o desligamento imediato da C&M Software das seis instituições afetadas, o que afetou temporariamente os serviços de PIX dessas empresas. O BC também garantiu que seus sistemas próprios não foram comprometidos e que o ataque foi contido.
Até o momento, os nomes dos outros quatro bancos atingidos não foram divulgados.
PF apura organização criminosa, fraude e lavagem de dinheiro
A investigação, conduzida pela Polícia Federal, apura a ocorrência dos seguintes crimes:
• Invasão de dispositivo informático (art. 154-A do Código Penal)
• Furto mediante fraude (art. 155, §4º, II)
• Organização criminosa (Lei nº 12.850/2013)
• Lavagem de dinheiro (Lei nº 9.613/1998)
A apuração também deve determinar como os criminosos obtiveram acesso às credenciais, qual foi o vetor da invasão (vulnerabilidade técnica, engenharia social ou cooptação interna), e qual a amplitude real do dano ao sistema financeiro nacional.
Risco sistêmico?
Embora o BC e os bancos minimizem os danos, o caso levanta alerta sobre a vulnerabilidade da cadeia de intermediação tecnológica que conecta instituições financeiras ao núcleo do sistema bancário. O elo mais frágil — no caso, uma prestadora de serviços terceirizada — tornou-se a porta de entrada para um dos maiores ataques cibernéticos da história financeira do país.