Na madrugada de 1º de julho de 2025, hackers invadiram os sistemas da C&M Software, empresa responsável por conectar instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) e ao Pix. Utilizando credenciais vazadas, os criminosos acessaram as contas-reserva — depósitos obrigatórios das instituições junto ao Banco Central (BC) — e transferiram recursos para suas próprias contas.

Imagem: EBC

Prejuízo Financeiro

As estimativas de prejuízo variam entre R$ 400 milhões e até R$ 1 bilhão. Caso o valor máximo se confirme, este será o maior ataque cibernético já registrado no Brasil, superando em até três vezes os R$ 110 milhões desviados na ‘Operação DeGenerative AI’, em 2024.

O Banco Central confirmou que o ataque foi direcionado à C&M Software, e não à sua própria infraestrutura. Como medida preventiva, o BC desligou temporariamente a empresa do SPB e do Pix. Posteriormente, autorizou o restabelecimento das operações em produção controlada, com horário reduzido (das 6h30 às 18h30), limites transacionais e monitoramento constante. Nenhum sistema do BC ou conta de cliente foi comprometido.

A Polícia Federal instaurou inquérito nessa quarta-feira (2), em parceria com o Banco Central e a Polícia Civil de São Paulo. As hipóteses investigadas incluem furto mediante fraude, invasão de dispositivo, lavagem de dinheiro e formação de organização criminosa. Até o momento, não há presos nem suspeitos identificados publicamente.

A C&M Software declarou que foi vítima direta do ataque. Informou que seus sistemas críticos não foram comprometidos e que acionou todos os protocolos de segurança. A empresa está colaborando com o Banco Central, a Polícia Federal e a Polícia Civil de São Paulo. Parte dos valores desviados já foi recuperada. A operação da empresa foi retomada de forma controlada, com autorização do BC.

Prejuízo e Confiança no Sistema

Os valores desviados pertenciam às contas-reserva das instituições financeiras, ou seja, não houve prejuízo direto a clientes. Ainda assim, o ataque causou instabilidade no serviço Pix, que foi suspenso temporariamente em algumas instituições. O episódio evidenciou falhas na cadeia de integração ao SPB e gerou preocupações sobre a cibersegurança de provedores de serviços financeiros.

Investigação e Suspeitos

A Polícia Federal segue investigando o caso, com foco na origem das credenciais utilizadas e na rota dos recursos desviados. Há suspeitas de envolvimento de organizações criminosas e uso de criptomoedas para lavagem de dinheiro. A cooperação entre as autoridades visa identificar os responsáveis e recuperar os valores desviados.

Repercussões

Especialistas classificam o ataque como sofisticado, exigindo reforço na segurança digital de instituições financeiras e provedores de serviço ao Pix. O caso pode acelerar mudanças regulatórias e a adoção de práticas de segurança mais rigorosas por parte do Banco Central e do setor financeiro como um todo.