Um dos maiores crimes cibernéticos da história brasileira foi registrado na madrugada da última segunda-feira (1), com o desvio de até R$ 1 bilhão de reservas financeiras no sistema do Banco Central. O ataque, considerado altamente sofisticado, ocorreu através da prestadora de tecnologia C&M Software e expôs falhas críticas na estrutura que sustenta o Pix e outras operações financeiras no país.
O que aconteceu?
A ação teve origem na invasão aos sistemas da C&M Software, empresa autorizada pelo Banco Central para intermediar comunicações via Pix, TED e DDA entre instituições financeiras e o Sistema Financeiro Nacional. Usando credenciais legítimas dessa prestadora, os criminosos iniciaram uma série de transferências dentro do ecossistema Pix.
A primeira movimentação registrada foi de R$ 18 milhões, por volta das 4h da manhã. A partir disso, diversos disparos financeiros ocorreram, totalizando valores estimados entre R$ 800 milhões e R$ 1 bilhão, conforme apurado por veículos como Cybernews, Brazil Journal e Valor Econômico.
Como foi possível?
Diferente de uma invasão direta aos sistemas do Banco Central, o ataque se valeu de acessos legítimos da C&M Software ao SPI (Sistema de Pagamentos Instantâneos). Com isso, os hackers conseguiram simular transferências válidas, sem acionar bloqueios automáticos. Especialistas chamaram isso de “fraude autorizada”, dado que as credenciais utilizadas pertenciam a um sistema confiável, mas comprometido.
Após a execução dos Pix, parte dos valores foi rapidamente convertida em criptomoedas — principalmente USDT e Bitcoin — utilizando exchanges e mesas OTC. Algumas dessas transações foram identificadas e bloqueadas, mas o rastro digital aponta movimentações para fora do país, o que torna a investigação mais complexa.
Quem foi afetado?
Seis instituições financeiras foram impactadas, entre elas o BMP, Credsystem e o Banco Paulista. Os valores desviados estavam em contas de reserva no Banco Central, o que significa que nenhum cliente final teve sua conta pessoal comprometida.
A resposta do Banco Central foi rápida: a conexão da C&M ao SPI foi imediatamente desativada, impedindo novas transferências. A instituição também reforçou que seus próprios sistemas permanecem íntegros e que o problema esteve limitado à operadora terceirizada.
Quem investiga?
A investigação está sendo conduzida pela Polícia Federal, em conjunto com o Banco Central e o Coaf (Conselho de Controle de Atividades Financeiras). Como parte dos recursos foi convertida em criptomoedas e enviada para carteiras internacionais, a apuração exigirá cooperação com autoridades de outros países e plataformas de ativos digitais.
Quais são as lições?
O ataque levanta uma questão delicada: a fragilidade de intermediários tecnológicos (conhecidos como PSTIs – Prestadores de Serviços de Tecnologia da Informação) dentro do sistema financeiro.
Especialistas apontam que o setor precisa evoluir na adoção de:
-
Autenticação multifator (MFA) em todos os acessos críticos
-
Monitoramento em tempo real de transações atípicas
-
Segmentação de privilégios em ambientes sensíveis
-
Automação de alertas via inteligência artificial
Outro ponto destacado é a necessidade de auditar regularmente infraestruturas físicas que hospedam sistemas financeiros, incluindo a blindagem de módulos HSM (Hardware Security Module), que armazenam chaves criptográficas.
O que muda agora?
A partir do caso, o Banco Central está orientando outras PSTIs a revisarem seus planos de contingência, fortalecerem protocolos de segurança e realizarem auditorias periódicas.
Já as instituições financeiras estão reforçando o monitoramento das operações e acelerando a adoção de ferramentas que detectam comportamentos anômalos, mesmo dentro de ambientes autorizados.
Além disso, as autoridades envolvidas trabalham com a expectativa de recuperar parte dos ativos desviados, embora o uso de criptomoedas torne o processo mais desafiador.
o roubo de até R$ 1 bilhão através de uma brecha indireta expõe uma dura realidade: nenhum sistema é 100% imune em um ecossistema digital interligado. Quanto maior a integração entre plataformas e serviços, maior o risco de pontos de entrada para ataques. Este episódio é um alerta claro para o setor financeiro brasileiro: segurança digital, automação e vigilância ativa não são mais diferenciais — são obrigações estruturais.