Um dos maiores ataques cibernéticos já registrados no sistema financeiro brasileiro atingiu, nesta semana, a C&M Software — uma empresa de tecnologia que conecta bancos e instituições financeiras ao Banco Central (BC), especialmente para operações como o Pix e transferências entre bancos.
Segundo as investigações tornadas públicas nesta quarta-feira (2), hackers conseguiram acessar as contas reservas de pelo menos oito instituições financeiras utilizando credenciais legítimas — nomes de usuário e senhas reais — de clientes da C&M. Estima-se que o valor desviado possa chegar a R$ 1 bilhão.
O ataque hacker, ocorrido entre 1º e 2 de julho de 2025, levanta questionamentos importantes: de quem é a responsabilidade? Como fica a situação de clientes comuns? E o que precisa ser feito para proteger o sistema?
Como o ataque hacker aconteceu?
O ataque teve início na madrugada de domingo para segunda-feira (1º de julho), quando um executivo da BMP – uma fintech que presta se
Segundo as investigações tornadas públicas nesta quarta-feira (2), hackers conseguiram acessar as contas reservas de pelo menos oito instituições financeiras utilizando credenciais legítimas — nomes de usuário e senhas reais — de clientes da C&M. Estima-se que o valor desviado possa chegar a R$ 1 bilhão.
O ataque hacker, ocorrido entre 1º e 2 de julho de 2025, levanta questionamentos importantes: de quem é a responsabilidade? Como fica a situação de clientes comuns? E o que precisa ser feito para proteger o sistema?
Como o ataque hacker aconteceu?
O ataque teve início na madrugada de domingo para segunda-feira (1º de julho), quando um executivo da BMP – uma fintech que presta serviços bancários para outras empresas – foi alertado por um banco sobre uma transferência suspeita de R$ 18 milhões via Pix, realizada às 4h da manhã.
Ao Brazil Journal, o executivo disse ter descoberto que várias outras transferências não autorizadas haviam sido feitas, totalizando um prejuízo de R$ 400 milhões apenas para a BMP.
Esse fato foi apenas o começo de uma ação coordenada que atingiu ao menos oito instituições financeiras, com perdas estimadas pelo Banco Central que podem chegar a R$ 1 bilhão.
O êxito do ataque se deve ao fato de os hackers terem obtido acesso a credenciais legítimas de clientes da C&M Software. Essas informações podem ter sido obtidas por meio de golpes de phishing (fraudes em que vítimas são induzidas a fornecer dados sensíveis) ou outros vazamentos ainda sob investigação.
De posse dessas credenciais, os criminosos acessaram o sistema da C&M e, consequentemente, as contas reservas das instituições financeiras.
O que são contas reservas?
Contas reservas são contas especiais que bancos e fintechs mantêm no Banco Central. Elas são utilizadas exclusivamente para transferências entre instituições financeiras, permitindo a liquidação (finalização) de operações como o Pix e outros pagamentos. Essas contas não são acessíveis ao público em geral e são diferentes das contas-correntes ou poupanças usadas por clientes comuns.
Utilizando as credenciais obtidas, os hackers realizaram transferências fraudulentas e desviaram grandes somas dessas contas reservas.
Como fica a situação dos clientes comuns?
De acordo com o Banco Central, clientes pessoa física não foram afetados diretamente pelo ataque. O dinheiro desviado estava nas contas reservas dos bancos, usadas apenas para operações entre instituições financeiras. Até o momento, não há indícios de que contas-correntes, poupanças ou aplicações de clientes tenham sido invadidas ou que dados pessoais tenham sido vazados.
O principal impacto para os clientes foi a indisponibilidade temporária do Pix em alguns bancos menores, que dependiam da C&M para acessar o sistema do Banco Central. Esse serviço já está sendo restabelecido.
Quem é responsável pelo problema?
A responsabilidade pelo ataque pode ser analisada em algumas frentes. Na esfera criminal, os hackers que invadiram o sistema e desviaram o dinheiro são os principais responsáveis e estão sendo investigados pela Polícia Federal, Banco Central e Polícia Civil de São Paulo.
No âmbito civil, a C&M Software pode ser responsabilizada se ficar comprovado que houve falha na segurança dos seus sistemas. Os bancos e fintechs afetados também podem ser cobrados, caso tenham sido negligentes na escolha ou fiscalização da empresa de mensageria. O Banco Central só será responsabilizado se houver prova de falha na fiscalização.
Como parte do dinheiro levado pelo ataque hacker foi rapidamente convertida em criptomoedas, corretoras que não cumpriram regras de segurança e identificação também podem ser investigadas.
O que diz a C&M Software?
Em comunicado, a C&M Software afirmou ter sido “vítima direta” do ataque hacker, destacando que os criminosos utilizaram “credenciais de clientes de forma indevida” para tentar acessar, de maneira fraudulenta, os sistemas e serviços da empresa.
A companhia ressaltou que, por orientação jurídica e em respeito ao sigilo das investigações, não divulgará detalhes do caso. No entanto, garantiu que todos os sistemas críticos permanecem íntegros e operacionais, e que todos os protocolos de segurança foram integralmente acionados.
A C&M também informou que está colaborando com a Polícia Federal, o Banco Central e a Polícia Civil de São Paulo nas investigações.
Por que o ataque hacker é grave?
O ataque hacker expôs uma vulnerabilidade importante do sistema financeiro: a dependência de empresas de mensageria para conectar bancos menores ao Banco Central. Como as ordens de transferência utilizavam credenciais legítimas, o Banco Central não tinha como identificar que eram operações fraudulentas — uma situação comparável a alguém usando o chip e a senha do seu cartão de crédito para fazer compras sem levantar suspeitas.
Especialistas alertam que, sem mecanismos automáticos e inteligentes para identificar transações atípicas, o sistema permanece vulnerável, principalmente durante horários de pouco movimento, como a madrugada.
