Na última terça-feira (1º), criminosos realizaram um ataque cibernético contra a C&M Software, empresa que fornece serviços de tecnologia homologados pelo Banco Central (BC). Segundo a companhia, o incidente não resultou em vazamento de dados de clientes ou instituições financeiras, mas envolveu a simulação de transações que desvio de recursos de contas no BC.
Detalhes do ataque e desvio de recursos
De acordo com a C&M, os criminosos usaram credenciais legítimas para simular autenticações e realizar transações indevidas, que resultaram no desvio de mais de R$ 400 milhões, conforme confirmou a Empresa Brasil de Comunicação (EBC). Os recursos desviados foram encaminhados por Pix para corretoras de criptomoedas, sem afetar os saldos das contas de correntistas.
A operação criminosa utilizou o login de instituições financeiras para acessar contas reserva no BC, onde os recursos estavam depositados para fins regulatórios, e promover o roubo, sem invadir os sistemas principais ou obter informações confidenciais.
Reforço nas políticas de segurança e auditoria
A C&M anunciou que está revisando suas políticas de acesso externo, além de reforçar os protocolos de segurança e realizar auditorias independentes. A empresa está adotando padrões mais rigorosos de homologação, buscando diminuir os riscos de vulnerabilidade na sua plataforma.
Segundo a nota oficial, a hipótese mais provável para o sucesso do ataque é a não ativação de todos os protocolos de segurança disponíveis. A companhia oferece controles de acesso por múltiplas etapas, validação em diferentes canais e horários, além de um sistema de reserva para operações críticas.
“A C&M monitora continuamente o funcionamento de seus sistemas, mas a autonomia de cada cliente na configuração de acessos é responsabilidade da instituição financeira”, afirmou a empresa, destacando que o uso das credenciais é de responsabilidade das próprias instituições.
Restabelecimento das operações Pix e providências
Nesta manhã, o Banco Central autorizou a retomada parcial das operações Pix da C&M, sob regime de produção controlada. A medida foi tomada após a implementação de novas ações por parte da empresa para dificultar novos ataques e evitar danos maiores.
O BC informou que as operações poderão ser retomadas em dias úteis, das 6h30 às 18h30, mediante autorização expressa das instituições participantes do sistema e com monitoramento reforçado das transações.
A C&M não divulgou um valor exato devolvido às instituições, mas confirmou que uma parte do dinheiro foi devolvida por meio do Mecanismo Especial de Devolução (MED), criado em 2021 para ressarcir vítimas de fraudes no Pix.
A companhia reforçou que não movimenta recursos próprios nem possui contas internacionais; atua unicamente como fornecedora de tecnologia, conectando instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB).
Perspectivas e impactos futuros
A C&M afirmou que continuará colaborando com as autoridades, incluindo a Polícia Federal e o Banco Central, e que reforçará sua governança em segurança digital. Ainda não há previsão de novas ações específicas, mas a empresa promete melhorar continuamente seus controles e monitoramento de fraudes.
Autoridades destacam que, apesar do incidente, não houve risco para os dados dos clientes, e as medidas adotadas visam fortalecer o sistema contra futuras tentativas de ataque.
