Ataque Bilionário: C&M Software Sofre Hackeamento e Impacta Contas-Reserva de Grandes Bancos

A segurança cibernética tornou-se um dos principais desafios do setor financeiro global. No Brasil, o recente ataque hacker à C&M Software expôs fragilidades que preocupam tanto instituições bancárias quanto órgãos reguladores. Este episódio, que já é considerado um dos maiores ataques cibernéticos à infraestrutura bancária do país, envolveu o comprometimento de contas-reserva de grandes instituições, movimentações milionárias e estratégias sofisticadas para ocultação dos valores desviados.

O presente artigo detalha os acontecimentos, o impacto financeiro e as medidas emergenciais adotadas, além de trazer curiosidades e informações de fontes confiáveis para contextualizar a relevância do caso.

O que aconteceu com a C&M Software

A C&M Software é uma empresa brasileira especializada em soluções tecnológicas para o mercado financeiro, especialmente na prestação de serviços de Bank-as-a-Service (BaaS). Sua principal função consiste em oferecer infraestrutura tecnológica que conecta bancos e fintechs ao Sistema de Pagamentos Brasileiro (SPB) e ao Pix.

No final de junho de 2025, a companhia comunicou oficialmente ao Banco Central que havia sofrido uma invasão cibernética. Conforme divulgado pelo Money Times, os criminosos obtiveram credenciais que lhes permitiram acesso direto às contas-reserva que diversas instituições mantêm junto ao Banco Central. Estas contas são responsáveis pela liquidação de operações interbancárias e representam um ponto crítico de toda a engrenagem financeira nacional.

A partir desse acesso privilegiado, os invasores realizaram movimentações suspeitas que, segundo estimativas preliminares, podem ter causado prejuízos superiores a R$ 1 bilhão. Diante da gravidade, o Banco Central suspendeu imediatamente o acesso da C&M às plataformas, isolando o sistema para conter novos danos.

Instituições afetadas e contas-reserva no Banco Central

O ataque afetou pelo menos seis instituições financeiras. Entre elas, a BMP foi a primeira a divulgar uma nota oficial reconhecendo o incidente. Na prática, apenas os saldos mantidos nas contas-reserva — que funcionam como depósitos de liquidez entre bancos — foram comprometidos. As contas correntes e os recursos dos clientes finais, segundo os comunicados, permaneceram intactos.

A BMP enfatizou que ativou imediatamente seus protocolos de segurança e que possui garantias financeiras suficientes para cobrir o montante impactado. Esse ponto é crucial, pois impede o risco de insolvência e preserva a continuidade das operações bancárias. Ainda assim, o incidente chama atenção para o risco sistêmico que uma falha de segurança em um provedor terceirizado pode gerar.

O Banco Central informou que está monitorando de perto todas as instituições conectadas ao SPB e que novas diretrizes de reforço de segurança devem ser emitidas nos próximos meses. A expectativa é que o incidente motive uma revisão aprofundada dos padrões de acesso a sistemas críticos, principalmente em operações via API.

Impacto financeiro e movimentação via criptomoedas

Ainda que os números oficiais não tenham sido divulgados, fontes como o Valor Econômico e publicações especializadas estimam que o total movimentado pelos hackers pode ultrapassar R$ 1 bilhão. Essa cifra tornaria o episódio o maior ataque hacker envolvendo infraestrutura bancária da história do país.

O Crypto Times noticiou que parte do dinheiro foi rapidamente convertida em criptomoedas — como Tether (USDT) e Bitcoin — por meio de exchanges internacionais e plataformas de swap integradas ao Pix. Essa tática não é inédita: hackers costumam usar ativos digitais para dificultar o rastreamento, já que transferências em blockchain podem ocorrer fora do sistema bancário tradicional.

Essa estratégia de conversão ilustra o grau de sofisticação do grupo criminoso. Além de executar a invasão com sucesso, eles teriam planejado previamente rotas de lavagem e dispersão dos valores. Especialistas afirmam que rastrear criptomoedas exige cooperação internacional entre reguladores, exchanges e empresas de compliance forense.

Medidas adotadas e avanços em cibersegurança

Logo após identificar a violação, a C&M Software desligou parte de sua infraestrutura, visando mitigar o avanço dos hackers. O Banco Central suspendeu integralmente o acesso da empresa aos sistemas do SPB e iniciou auditoria para determinar o vetor inicial da invasão.

A BMP, por sua vez, comunicou que tomou providências legais e operacionais. Entre elas, destaca-se a revisão de contratos com prestadores terceirizados e o reforço de monitoramento de movimentações financeiras em tempo real.

O caso da C&M Software expõe um debate que cresce entre especialistas em segurança da informação: a dependência de sistemas terceirizados como ponto de vulnerabilidade. Embora essas empresas ofereçam agilidade e tecnologia de ponta, sua conexão direta com plataformas críticas impõe riscos substanciais. Por isso, há crescente pressão para que essas integrações contemplem:

• Autenticação multifatorial robusta

• Criptografia avançada de credenciais

• Logs de auditoria invioláveis

• Monitoramento contínuo por inteligência artificial

Esses mecanismos são considerados indispensáveis no novo cenário de ameaças, marcado por ataques sofisticados e pela exploração de sistemas interconectados.

O ataque hacker à C&M Software consolida-se como um dos episódios mais graves já enfrentados pelo sistema financeiro brasileiro. Ao comprometer contas-reserva de grandes instituições, o incidente evidencia que a terceirização de serviços críticos precisa ser acompanhada de controles rigorosos, auditoria constante e protocolos de cibersegurança de última geração.

A rápida conversão dos valores em criptomoedas também demonstra que criminosos estão cada vez mais sofisticados e prontos para explorar brechas tecnológicas. Diante desse cenário, órgãos reguladores, bancos e provedores de BaaS terão de ampliar investimentos em prevenção e resposta a incidentes, protegendo não apenas os ativos institucionais, mas a confiança de todo o mercado.

Curiosidades

• Infraestrutura BaaS: O Bank-as-a-Service permite que fintechs e bancos se conectem ao Sistema de Pagamentos Brasileiro sem desenvolver toda a infraestrutura por conta própria. Esse modelo cresce no Brasil, mas amplia riscos de ataques em cadeia.

• Lavagem via criptomoedas: A utilização de ativos digitais para lavar dinheiro é uma tática já registrada em crimes cibernéticos globais, como o ataque ao Axie Infinity, que superou US$ 600 milhões em prejuízo.

• Precedentes no Brasil: Embora bancos brasileiros sejam considerados avançados em segurança, ataques direcionados a provedores de tecnologia financeira têm aumentado desde 2021.