Hacker invade “empresa do Pix” e desvia até R$ 1 bilhão: entenda quem é responsável e se clientes correm riscos

Um dos maiores ataques cibernéticos já registrados no sistema financeiro brasileiro atingiu nesta semana a C&M Software, empresa responsável por conectar bancos e fintechs ao Banco Central (BC) para operações do Pix e transferências interbancárias.

De acordo com informações divulgadas nesta quarta-feira (2), hackers acessaram contas reservas de pelo menos oito instituições financeiras usando credenciais legítimas — nomes de usuário e senhas reais — de clientes da C&M. O prejuízo estimado pode chegar a R$ 1 bilhão, segundo fontes ligadas ao Banco Central.

Como o ataque hacker aconteceu?
O ataque começou na madrugada de 1º de julho, quando um executivo da BMP — fintech que presta serviços bancários a empresas — recebeu alerta de um banco sobre uma transferência suspeita de R$ 18 milhões via Pix. Ao investigar, descobriu que diversas outras transações não autorizadas haviam sido realizadas, gerando um prejuízo de R$ 400 milhões apenas para a BMP.

Essas operações fizeram parte de uma ação coordenada que, segundo o BC, pode ter gerado perdas totais próximas a R$ 1 bilhão em pelo menos oito instituições.

O sucesso do ataque ocorreu porque os criminosos usaram credenciais legítimas de clientes da C&M, possivelmente obtidas por golpes de phishing ou outros vazamentos ainda sob investigação. Com essas credenciais, os hackers conseguiram acessar o sistema da C&M e movimentar recursos das contas reservas das instituições financeiras.

O que são contas reservas?
Contas reservas são contas especiais que bancos e fintechs mantêm no Banco Central para liquidar operações como o Pix e outros pagamentos entre instituições financeiras. Elas não são acessíveis a clientes pessoa física nem equivalem a contas-correntes ou poupanças comuns.

Com as credenciais, os hackers realizaram transferências fraudulentas e desviaram grandes valores dessas contas.

Clientes comuns foram prejudicados?
Segundo o Banco Central, clientes pessoa física não tiveram contas-correntes, poupanças ou investimentos acessados nem dados vazados. O dinheiro roubado estava restrito às contas reservas usadas apenas entre instituições. O principal reflexo para clientes foi a instabilidade temporária do Pix em alguns bancos menores, que dependiam da C&M para conexão com o BC — mas o serviço já está sendo restabelecido.

De quem é a responsabilidade?
Na esfera criminal, os hackers são os principais responsáveis e estão sendo investigados pela Polícia Federal, Banco Central e Polícia Civil de São Paulo.

No campo civil, a C&M poderá responder se for comprovada falha em seus sistemas. Bancos e fintechs que contrataram a C&M também podem ser responsabilizados se houve negligência na escolha ou fiscalização da empresa. Já o Banco Central só seria responsabilizado se ficasse provada falha em sua supervisão.

Além disso, corretoras de criptomoedas que não cumpriram exigências de segurança e identificação podem ser investigadas, já que parte do dinheiro foi rapidamente convertido em criptoativos.

O que diz a C&M Software?
Em nota, a C&M declarou ter sido “vítima direta” do ataque, explicando que os criminosos utilizaram “credenciais legítimas de clientes de forma indevida” para acessar seus sistemas. A empresa afirma que todos os sistemas críticos seguem operacionais e que seus protocolos de segurança foram acionados. Por orientação jurídica, não divulgou mais detalhes e disse colaborar com as autoridades.

Por que o ataque é grave?
Especialistas apontam que o ataque escancarou uma vulnerabilidade do sistema: a dependência de empresas intermediárias para conectar instituições ao Banco Central. Como as credenciais usadas eram reais, o sistema do BC não tinha como identificar as transferências como fraudulentas — algo comparável a um ladrão usando o chip e a senha do seu cartão para compras sem despertar suspeitas.

Sem mecanismos automáticos para detectar transações fora do padrão, principalmente em horários de baixo movimento, como a madrugada, o sistema financeiro permanece exposto a esse tipo de crime.