02/07/2025 - 15:00
A C&M, uma prestadora de serviços que atende diversas instituições financeiras, confirmou nesta terça-feira, 2, que hackers conseguiram roubar cifras de contas da companhia. O valor exato do roubo ainda não foi confirmado oficialmente, todavia informações apontam para possibilidade de uma perda na casa de R$ 1 bilhão – o que configuraria o maior roubo da história do país.
+Lula defende judicialização do IOF e diz que houve ‘descumprimento do acordo’
Em suma, o que ocorreu foram que hackers invadiram os sistemas da companhia usando credenciais válidas e e exploraram uma vulnerabilidade no sistema de comunicação entre a C&M e o Sistema de Pagamentos Brasileiro (SPB).
Em nota, a C&M diz que “colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Polícia Civil de SP, nas investigações em andamento” (veja na íntegra abaixo).
Procurado pela IstoÉ Dinheiro, o Banco Central confirmou a ruptura com a prestadora de serviços já na quarta-feira, 2.
“A C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”, diz a autarquia.
O BC ainda frisou que os sistemas administrados pela instituição não foram afetados.
Nesta quinta, 3, a autarquia emitiu um novo comunicado destacando que a suspensão cautelar da C&M foi substituída por uma suspensão parcial. Segundo o BC, essa decisão foi tomada após a empresa adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes.
“As operações da C&M poderão ser restabelecidas em dias úteis, das 6h30 às 18h30, desde que haja anuência expressa da instituição participante do Pix e o robustecimento do monitoramento de fraudes e limites transacionais”, diz a nota.
Em nota assinada pelo diretor comercial Kamal Zogheib, a C&M, por sua vez, disse que obteve autorização para restabelecer as operações do Pix.
“Todas as medidas previstas em nossos protocolos de segurança foram imediatamente adotadas, incluindo o reforço de controles internos, auditorias independentes e comunicação direta com os clientes afetados”, disse a nota.
A empresa explicou que foi vítima de uma ação criminosa que envolveu o uso indevido de credenciais de clientes em tentativas de acesso fraudulento, afirmando que colabora ativamente com o BC e a Polícia Civil de São Paulo.
A instituição financeira brasileira BMP havia informado à Reuters na quarta-feira que ela e outras cinco instituições sofreram acesso não autorizado às suas contas reserva durante o ataque.
O que aconteceu?
Os sistemas da C&M foram invadidos e diversas contas foram acessadas, incluindo uma conta da BMP, uma operadora de Banking as a Service (BaaS).
O caso ganhou ainda mais notoriedade dado que a C&M prestava serviços ao Banco Central (BC) e a outras instituições relevantes do sistema financeiro brasileiro.
Ao Brazil Journal, fontes a par do tema afirmaram que os clientes da BMP não terão prejuízo porque a operadora possui um colateral depositado que fornece liquidez perante ao roubo de R$ 1 bilhão.
A C&M Software informou nesta quinta-feira, 3, que seus serviços foram restabelecidos com autorização do Banco Central após um ataque cibernético. Em nota, a empresa informou que obteve autorização para restabelecer as operações do Pix, sob regime de produção controlada.
Dinheiro pode ter sido convertido em criptomoedas
Informações não oficiais e ventiladas na imprensa sugerem que os criminosos teriam convertido o dinheiro roubado em criptomoedas.
Nesse caso, os valores teriam sido movimentados para diferentes plataformas de criptomoedas usando exchanges, sistemas de swap e mesas OTC integradas ao Pix.
Em ao menos um desses casos de envio de remessas, um dos provedores considerou a movimentação atípica, bloqueou transações e alertou a BMP.
Segundo apuração da Folha de S. Paulo, a Smartpay considerou uma movimentação de R$ 100 mil para comprar USDT algo anormal, dado que a companhia foi criada recentemente. A criptomoeda em específico tem o dólar como âncora.
A movimentação foi percebida ainda na madrugada de segunda-feira, 30. A companhia então entrou em contato com a BMP para averiguar o caso.
Quem foi afetado
A C&M atendia diversos clientes.
Até então, três instituições confirmaram que sofreram impacto do ataque hacker: credsystem, Banco Paulista e BMP. A credsystem sofreu impactos diretos e seus clientes perderam acesso ao sistema Pix.
Isso ocorre porque as empresas afetadas ficaram sem acesso ao sistema de pagamentos instantâneo assim que o BC retirou a C&M dos seus sistemas.
O Banco Paulista também teve intercorrências com o Pix, por conta de uma interrupção temporária, mas a falha não gerou movimentações indevidas.
A BMP informou que o ataque envolveu exclusivamente recursos depositados na sua conta reserva no Banco Central, e que já adotou todas as medidas operacionais e legais cabíveis.
A XP informou que não foi afetada.
O que é e o que faz a C&M, alvo do roubo bilionário por ataque hacker
Criada na década de 1990, a C&M Software é uma empresa especializada em sistemas que conectam bancos e fintechs ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix.
Dentre os clientes da companhia estão:
- XP
- Rico (subsidiária da XP)
- Banco Carrefour
- Minerva Foods
- BMP
- Banco Paulista
- Credsystem
No passado a companhia também havia tido contratos com outras grandes companhias do sistema financeiro, como o Nubank – fintech que já não tem contratos com a prestadora de serviços há tempos.
Qual foi o valor?
O valor exato desviado pelos criminosos ainda não foi confirmado. As informações do Brazil Journal, que noticiou o caso em primeira mão com base em apuração com fontes a par do tema, apontam que seria de R$ 1 bilhão.
Apuração do Valor Econômico indica que ao menos R$ 400 milhões foram desviados.
Se confirmado o valor de R$ 1 bilhão, esse ataque hacker terá sido o maior roubo da história do Brasil, superando casos emblemáticos como o assalto ao Banco Central que ocorreu em Fortaleza (CE), em meados de 2005, quando foram levados R$ 164 milhões em dinheiro de cofres da instituição.
Confira a íntegra da nota da C&M
A CMSW informa que, após atuação conjunta com o Banco Central do Brasil, obteve autorização para restabelecer as operações do Pix, sob regime de produção controlada.
A empresa foi vítima de uma ação criminosa, que envolveu o uso indevido de credenciais de clientes em tentativas de acesso fraudulento.
Desde o início deste episódio, a CMSW manteve uma postura serena, técnica e colaborativa, confiando plenamente em sua isenção quanto à origem do incidente, mesmo diante de ilações ou tentativas externas de antecipar julgamentos.
Todas as medidas previstas em nossos protocolos de segurança foram imediatamente adotadas, incluindo o reforço de controles internos, auditorias independentes e comunicação direta com os clientes afetados.
A CMSW segue colaborando ativamente com o Banco Central e com a Polícia Civil de São Paulo, e continuará respeitando o sigilo das investigações em curso