O sistema financeiro brasileiro está no centro de uma das maiores investigações de cibercrime da história do país. Um ataque registrado nesta semana desviou ao menos R$ 800 milhões após o uso indevido de credenciais de clientes da C&M Software, empresa que presta serviços a instituições financeiras e atua como integradora do Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix.
O caso mobiliza Polícia Federal, Polícia Civil de São Paulo e Banco Central (BC), que acompanham a investigação em diversas frentes. Apesar do alto valor envolvido, as autoridades ainda tratam o episódio com cautela e evitam, por ora, classificá-lo oficialmente como ataque hacker.
Como ocorreu o golpe
Segundo informações da própria C&M Software, o ataque não envolveu uma invasão direta aos seus servidores. Em vez disso, houve uma simulação de integração fraudulenta: um terceiro, utilizando credenciais reais de um cliente da empresa, conseguiu se passar por uma instituição legítima e movimentar valores expressivos no sistema.
As transações irregulares afetaram contas-reserva de oito instituições financeiras, embora o Banco Central tenha informado que nenhum sistema sob sua responsabilidade foi comprometido. A empresa afirma que o autor do golpe teve acesso indevido às credenciais de autenticação de um cliente e utilizou-as para operar dentro do ambiente financeiro com aparência de legalidade.
Resposta imediata
Ao identificar o comportamento anormal, na terça-feira (1º), a C&M adotou uma série de medidas emergenciais:
- Isolamento dos ambientes afetados;
- Bloqueio dos canais suspeitos;
- Acionamento do Mecanismo Especial de Devolução (MED) do Pix;
- Solicitação de estorno dos valores desviados;
- Comunicação imediata ao Banco Central e às autoridades policiais;
- Contratação de auditoria externa;
- Revisão das políticas internas de segurança e governança.
Interrupção e retomada parcial
Como resposta à ocorrência, o Banco Central determinou a suspensão temporária das atividades da empresa no ecossistema Pix. No entanto, nesta quinta-feira (3), autorizou a retomada parcial dos serviços em regime de produção controlada: das 6h30 às 18h30, apenas em dias úteis e com anuência prévia das instituições participantes.
O BC considerou que as providências técnicas adotadas pela C&M foram suficientes para mitigar novos riscos, embora mantenha o monitoramento contínuo da operação.
Falhas de segurança e apuração
Apesar de reforçar que seus sistemas não foram invadidos, a C&M destacou que parte dos clientes não utilizava todas as funcionalidades de segurança disponíveis, o que pode ter contribuído para a ação criminosa. A empresa lembrou ainda que a responsabilidade pelo uso seguro das credenciais recai sobre as instituições que as possuem.
O episódio escancarou fragilidades na governança do sistema financeiro e deve provocar uma revisão nos padrões de segurança exigidos para integrações via APIs. A C&M já anunciou mudanças nas regras de homologação de acesso, com exigência de novos padrões mínimos de segurança ativa.
Investigação em andamento
A Polícia Federal lidera as investigações criminais com apoio da Polícia Civil de São Paulo e do Banco Central, que atua na vertente técnica e regulatória. Como o caso envolve recursos de instituições privadas, a apuração principal seguirá com os órgãos de segurança pública.
Fontes do governo e do setor financeiro avaliam que o incidente servirá como alerta para reforçar políticas de cibersegurança e revisar práticas de autenticação e monitoramento no ambiente financeiro digital.
A dimensão do ataque, o alto valor desviado e o envolvimento de credenciais legítimas colocam o episódio como um marco negativo — e transformador — para o sistema bancário brasileiro.
