Na madrugada do dia 1º de julho, o sistema financeiro brasileiro foi sacudido por um dos maiores ataques cibernéticos já registrados no país. Um grupo criminoso explorou uma brecha de segurança em uma prestadora de serviços terceirizada e desviou, em questão de minutos, cerca de R$ 800 milhões, com estimativas que apontam para perdas que podem alcançar R$ 1 bilhão. O alvo principal do golpe foi a fintech BMP, especializada em soluções de banking as a service, que opera desde 1999. Mas o golpe atingiu, direta ou indiretamente, ao menos outras cinco instituições financeiras e revelou um ponto crítico de fragilidade no coração do sistema de pagamentos brasileiro: a terceirização da infraestrutura bancária.
O ataque foi possível graças a uma falha operacional na empresa C&M Software, prestadora de serviços que conecta instituições financeiras ao Banco Central (BC) e viabiliza operações como o Pix. Segundo apuração do Brazil Journal, os criminosos conseguiram se infiltrar no sistema da C&M ao obter credenciais legítimas de um cliente. De posse de nomes de usuário, senhas e certificados válidos, os hackers conseguiram se passar por uma instituição autorizada e realizar uma série de transferências fraudulentas via Pix, diretamente das contas de liquidação das instituições no Banco Central.
Um golpe de dentro para fora
A operação não envolveu invasões aos sistemas do Banco Central ou falhas no protocolo Pix. O que houve foi o uso indevido de acessos legítimos, uma espécie de golpe de “identidade digital”. Com as credenciais em mãos, os criminosos agiram como um participante regular do sistema, disparando ordens de transferência que passaram pelos filtros de segurança como se fossem operações normais. As transações eram grandes, rápidas e difíceis de rastrear.
O primeiro indício de irregularidade veio com uma movimentação suspeita de R$ 18 milhões às 4h da manhã. Ao investigar o caso, a BMP descobriu que centenas de milhões de reais haviam sido transferidos indevidamente a partir de sua conta de liquidação no Banco Central. Em poucas horas, o rombo já superava R$ 400 milhões.
Reação – Ao tomar conhecimento do ataque, o Banco Central desligou a C&M do Sistema de Pagamentos Brasileiro e suspendeu o Pix para 22 instituições financeiras conectadas por meio da prestadora. A medida emergencial evitou um prejuízo ainda maior. Paralelamente, uma força-tarefa foi montada entre o BC, a Polícia Federal e a Polícia Civil de São Paulo para investigar o caso.
Em pouco mais de 48 horas, um funcionário de uma empresa ligada à C&M, foi preso em São Paulo sob acusação de participação no esquema. Segundo a Polícia Civil, ele teria fornecido as credenciais que permitiram o acesso indevido aos sistemas da empresa. A Justiça já autorizou o bloqueio de R$ 270 milhões que estavam em contas suspeitas, e parte dos valores foi recuperada por meio do Mecanismo Especial de Devolução (MED) do próprio Pix e com o apoio de corretoras de criptomoedas que identificaram movimentações suspeitas.
Além da BMP, instituições como o Banco Paulista, Credsystem e o Banco Carrefour também foram afetadas. Em comum, todas eram clientes da C&M. A maior parte afirmou que não houve vazamento de dados de clientes ou prejuízo para usuários finais. As perdas se concentraram nas contas reserva das próprias instituições, utilizadas exclusivamente para liquidação de operações financeiras.
Apesar da gravidade do incidente, o Banco Central afirmou que nenhum sistema da autarquia foi comprometido e que os mecanismos de proteção de clientes foram eficazes. Ainda assim, a repercussão no mercado foi imediata. Especialistas apontam que o episódio evidenciou uma falha sistêmica na gestão de credenciais e de terceiros, e não uma vulnerabilidade técnica do Pix em si.
Para especialistas em segurança da informação, o caso representa um alerta claro para o setor financeiro. “Não se trata de hackers invadindo firewalls. Eles usaram credenciais verdadeiras para operar dentro do sistema, como se fossem legítimos. Isso é resultado de uma governança falha sobre chaves, acessos e parceiros terceirizados”, explica Marco Zanini, CEO da Dinamo Networks.
A tendência de terceirizar conectividade com o Banco Central por meio de empresas como a C&M é comum entre bancos menores e fintechs. Mas o ataque demonstrou que, ao confiar em intermediários, as instituições assumem riscos que não estão totalmente sob seu controle.
Próximos passos – O Banco Central prometeu reforçar a regulação e os protocolos de segurança. Medidas como o uso obrigatório de HSMs (módulos de segurança de hardware) para armazenamento de chaves, exigência de autenticação multifator, limites dinâmicos de valor por transação e o aprimoramento do próprio Mecanismo Especial de Devolução estão em avaliação.
Para o mercado, o incidente também reforça a urgência da adoção de arquiteturas Zero Trust, que operam sob o princípio de nunca confiar automaticamente em nenhum usuário ou sistema, mesmo que ele já esteja dentro da rede.
O maior assalto cibernético da história financeira do Brasil não ocorreu pela quebra de um sistema, mas pela confiança mal administrada. O golpe, sofisticado em planejamento e simples em execução, deixou clara uma lição: não basta proteger o cofre se as chaves estiverem desprotegidas nas mãos erradas.
Ainda que os prejuízos tenham sido contidos e os clientes finais preservados, o episódio representa uma ruptura simbólica. O sistema Pix, antes símbolo de inovação e segurança, agora precisa encarar um novo desafio: proteger-se de dentro para fora, blindando não apenas suas estruturas, mas também os elos frágeis da cadeia digital que sustentam a nova era dos pagamentos.
Texto: Bruno Nasser