O Banco Central informou que a C&M Software, empresa que conecta fintechs e bancos menores ao sistema Pix, sofreu um ataque cibernético na última quarta-feira (2). Criminosos utilizaram senhas e credenciais de clientes para acessar, de forma fraudulenta, sistemas e contas de reserva de instituições financeiras.

Nesta sexta-feira (4), a Polícia Civil de São Paulo prendeu um funcionário da C&M suspeito de envolvimento no ataque. Ele admitiu ter fornecido sua senha aos criminosos em troca de R$ 15 mil.

A polícia ainda investiga o valor total do prejuízo, mas fontes envolvidas estimam que o montante desviado pode alcançar R$ 800 milhões. Segundo investigadores, esse pode ser o maior roubo da história do país.

Até o momento, a empresa confirmou que seis instituições foram afetadas, mas divulgou o nome de apenas uma: a BMP, que registrou boletim de ocorrência. A BMP relatou prejuízo de R$ 541 milhões, transferidos via Pix em menos de três horas, na madrugada de segunda-feira (30).

Os criminosos emitiram ordens falsas de pagamento se passando por bancos atendidos pela C&M e iniciaram uma série de transferências a partir das 4h da manhã, que só cessaram por volta das 7h.

Apesar de as instituições afetadas afirmarem que não houve danos às contas de clientes finais, especialistas apontam que o incidente comprometeu a segurança do sistema financeiro como um todo. Eles destacam três consequências principais:

• Reputacional: com a exposição pública das instituições que utilizam os serviços da C&M;
• Sistêmico: ao revelar falhas críticas na gestão de acessos privilegiados e na segurança da cadeia de tecnologia bancária;
• Operacional: pela necessidade urgente de revisar protocolos de segurança e acesso aos sistemas.