O sistema financeiro brasileiro enfrenta uma das maiores crises de segurança cibernética da sua história. Um ataque identificado na última terça-feira (1º) desviou pelo menos R$ 800 milhões, após o uso fraudulento de credenciais de acesso da empresa C&M Software, responsável pela integração de diversas instituições ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix. A fraude mobilizou a Polícia Federal, a Polícia Civil de São Paulo e o Banco Central, que acompanham a investigação em curso.

A C&M Software, que presta serviços para bancos, fintechs e cooperativas, detectou movimentações anormais feitas a partir de uma simulação de acesso autorizado. Segundo a empresa, não houve invasão aos seus servidores, mas sim o uso ilícito de credenciais reais de um de seus clientes. Isso permitiu ao invasor operar como se fosse uma instituição financeira regular dentro do ecossistema do Pix, movimentando altos valores de forma discreta.

O golpe atingiu contas-reserva de pelo menos oito instituições financeiras. Diante da gravidade do caso, o Banco Central suspendeu imediatamente as operações da empresa no sistema Pix. A prestadora isolou os canais comprometidos, acionou o Mecanismo Especial de Devolução (MED), solicitou o estorno dos valores desviados e contratou uma auditoria externa para revisar seus protocolos de segurança.

A C&M também revelou que parte das instituições afetadas não ativaram todos os recursos de segurança oferecidos, o que pode ter contribuído para o sucesso da fraude. Apesar disso, a empresa afirmou estar colaborando ativamente com as autoridades e reformulando seu processo de homologação de APIs e autenticação de acessos externos.

Com base nos relatórios iniciais, o Banco Central autorizou, na quinta-feira (3), a retomada parcial das operações da C&M em regime de produção controlada. As atividades estão restritas ao horário comercial, com exigência de autorização expressa das instituições envolvidas e monitoramento reforçado dos canais antifraude.

O caso serve de alerta para o mercado financeiro sobre a urgência de reforçar os protocolos de segurança digital e a responsabilidade compartilhada no uso e na proteção de credenciais de acesso. As investigações continuam sob sigilo, e a expectativa é de que novas regras e exigências sejam implementadas em breve para fortalecer a integridade do sistema de pagamentos no país.

Quais medidas foram adotadas?

Após detectar a fraude, a C&M:

• Isolou os ambientes comprometidos;
• Bloqueou os canais suspeitos;
• Acionou o Mecanismo Especial de Devolução (MED) do Pix;
• Solicitou o estorno dos valores desviados;
• Comunicou imediatamente o BC e autoridades policiais;
• Contratou auditoria externa independente;
• Iniciou uma revisão profunda de suas políticas de segurança e governança.