A madrugada em que o sistema financeiro foi testado
- MOSTB Editora
- há 1 dia
- 4 min de leitura
Na madrugada de domingo para segunda-feira (30 de junho para 1º de julho de 2025), às 4 h, um executivo da fintech BMP recebeu um telefonema alarmante: um PIX de R$ 18 milhões havia sido transferido da “conta reserva” da empresa para outro banco sem autorização. O que começaria com esse valor logo se mostraria apenas a ponta do iceberg.
Ao chegar ao escritório, descobriu-se que R$ 400 milhões haviam sido drenados em transações não autorizadas. Estimativas iniciais do Banco Central indicam que, somando as perdas de diversas instituições via essa mesma vulnerabilidade algo em torno de R$ 800 milhões desapareceu das contas das instituições conectadas à C&M Software.
Onde aconteceu e como
A falha ocorreu na C&M Software, um provedor de serviços de tecnologia da informação (PSTI) que faz a intermediação de mensagens entre bancos, fintechs e o Banco Central como instruções de PIX, TED e outras operações. Pelo sistema, algumas fintechs acessam diretamente suas “contas reserva” no BC. Os grandes bancos, por outro lado, se conectam diretamente, sem intermediários.
Os hackers teriam chegado por essa porta: enviaram instruções de pagamento “legítimas”, com todos os critérios de segurança exigidos pelo BC, pois foram emitidas a partir do prestador de serviço. Como explicou uma fonte próxima ao BC: “é como se tivéssemos recebido uma transação com o chip e a senha do cartão” o provedor foi “enganado”, liberando acesso indevido às contas.
A reação e as consequências
Imediatamente após o ataque, a C&M desativou temporariamente o PIX para as instituições afetadas. A BMP já recuperou R$ 130 milhões até o início da manhã de segunda-feira, segundo Carlos Eduardo Benitez, fundador da companhia. Ele ressaltou que "nenhuma conta de cliente foi afetada e nenhum dado foi vazado" e que os clientes estão “100 % protegidos”.
Apesar disso, se não houver mais recuperações, a BMP pode sofrer uma perda de cerca de R$ 300 milhões no caixa quase metade de sua liquidez pré-ataque, que girava em torno de R$ 600 milhões. braziljournal.com
Um ataque bem orquestrado e com precedentes
Segundo estimativas, este foi o ataque mais sofisticado e oneroso já registrado no sistema financeiro brasileiro. A C&M é apenas uma das sete PSTIs autorizadas, que juntas conectam 293 instituições ao Banco Central.
Esse modelo de intermediação é visto como vulnerável por especialistas. Rocelo Lopes, da SmartPay (responsável pela carteira criptográfica Truther), disse: “O coração do problema está nas mensagerias. Se não mudarem isso, isso vai acontecer de novo” e cobrou a adoção de protocolos mais rígidos, inclusive usando IA para identificar transações atípicas.
Ele lembra que já houve outros ataques semelhantes, como um recente assalto a uma instituição em São Paulo, que vazou R$ 30 milhões via uma conta pessoal, passou por uma operadora OTC de criptomoedas e foi convertida em USDT/Bitcoin na SmartPay tudo sem alarde público.
O que o BC está fazendo — e por onde seguir
O Banco Central afirma que seus sistemas estão íntegros — o problema não foi interno, mas causado pela emissão de ordens falsas através de um parceiro confiável. Agora, o foco está em identificar o ponto vulnerável da C&M, avaliar o que pode ser recuperado e reforçar mecanismos de segurança no ecossistema do PIX. “O processo de segurança é dinâmico e contínuo”, disse a fonte.
Enquanto isso, a C&M suspendeu temporariamente o acesso ao PIX dos clientes afetados, e a BMP mantém reuniões com o BC para coordenar a resposta e entender a extensão dos danos.
Por que esse episódio é um alerta vermelho para o sistema
Integração acelerada x segurança deficienteA migração rápida de novos players (fintechs, bancos regionais, etc.) conectados ao PIX via PSTIs expôs falhas não previstas na arquitetura original.
Contas reserva compartilhadasAs chamadas “contas reserva” mantêm recursos mistos (clientes + instituição) no BC, elevando o risco sistêmico caso uma falha ocorra.
PIX como instrumento de liquidez imediata para criminososA velocidade e disponibilidade do PIX, especialmente fora do horário comercial, são um canal extremamente atrativo para lavagem de grandes volumes.
A urgência por IA e detecção de anomaliasEspecialistas apontam a necessidade de sistemas preditivos e filtros automáticos que identifiquem padrões suspeitos, protegendo tanto PSTIs quanto o PIX como um todo.
O episódio não foi apenas um ataque foi um teste dramático à infraestrutura digital do sistema financeiro brasileiro. R$ 800 milhões sumidos em questão de minutos mudam o paradigma: não é mais uma questão de “se”, mas de “quando” o próximo golpe virá. A velocidade do PIX, agregada à complexidade dos PSTIs, exige respostas rápidas e coordenadas entre Banco Central, provedores e instituições conectadas.
Este evento tem potencial para ser o catalisador de uma nova era de segurança financeira: revisões nos protocolos, autenticação reforçada e inteligência artificial na linha de frente contra fraudes. Porque o verdadeiro legado desta madrugada tumultuada será como o Brasil reagirá se continuará a apenas simmer na superfície ou se resolverá ir fundo em sua blindagem digital.
O que o Banco Central informou
A C&M Software comunicou ao BC que sofreu um ataque cibernético em sua infraestrutura tecnológica.
Em reação, o BC determinou o desligamento imediato do acesso das instituições à infraestrutura da C&M.
O regulador deixou claro que os sistemas centrais do Banco Central não foram afetados, e que não houve impacto nas contas dos clientes finais.
O BC está atuando em conjunto com a C&M e com as autoridades (PF, Polícia Civil-SP) para investigar o ataque.
Recursos desviados estimativa oficial
Embora ainda sem confirmação dos valores exatos, o Banco Central mencionou que as instituições devem ressarcir os recursos desviados, com base em estimativas preliminares que apontam desvios entre R$ 800 milhões e R$ 1 bilhão.
Investigações e consequências regulatórias
O BC informou que o caso será analisado sob o escopo regulatório, com possibilidade de aplicar sanções.
Paralelamente, a Polícia Federal abriu inquérito para investigar a ação hacker.
Resumo das principais medidas do BC
Medida tomada | Detalhes |
Notificação recebida | C&M informou sobre o ataque |
Ação imediata | Cortou-se o acesso da C&M aos sistemas do BC |
Status do sistema do BC | Sistemas do BC funcionam normalmente, sem danos |
Segurança dos clientes finais | Nenhuma conta ou informação de pessoa física foi afetada |
Investigação | Conduzida pelo BC, PF e Polícia Civil-SP |
Responsabilização e punições possíveis | Estudo será feito conforme normativa vigente |
O Banco Central agiu rapidamente ao desconectar a C&M Software, protegeu a integridade de seus sistemas centrais e garantiu que os clientes não foram afetados. Agora, conduz investigação detalhada, com o objetivo de recuperar os valores desviados e aplicar as medidas regulatórias cabíveis.
Fontes: BC. Correio Braziliense. braziljournal
Texto: mostb.com
Commentaires