A C&M Software, empresa de tecnologia autorizada pelo Banco Central desde 2001, foi alvo de um ataque hacker que pode configurar o maior já registrado no Brasil. Fundada na década de 1990, a companhia opera como prestadora de serviços no Sistema de Pagamentos Brasileiro (SPB), incluindo a liquidação do Pix.
✅ Siga o canal do Claudio Dantas no WhatsAppA empresa foi invadida por criminosos que utilizaram credenciais de clientes para tentar acessar de forma fraudulenta sistemas internos. Estima-se que pelo menos seis instituições tenham sido afetadas. Uma delas, a BMP, atua no modelo de “banking as a service” e registrou R$ 231 milhões de lucro em 2024.
As perdas podem variar de R$ 400 milhões a R$ 3 bilhões, segundo estimativas do mercado. Cada instituição atingida teria registrado, em média, prejuízo superior a R$ 50 milhões. Os nomes das demais instituições afetadas não foram divulgados.
A C&M desenvolve soluções para o ecossistema de pagamentos instantâneos e mantém uma fatia de 23% do mercado. Além do Pix, a empresa colaborou no projeto da plataforma FedNow, o sistema de pagamentos instantâneos dos Estados Unidos.
Segundo a empresa, os sistemas críticos permanecem operacionais, e os protocolos de segurança foram acionados. A C&M colabora com a PF, o Banco Central e autoridades estaduais nas investigações. Em nota, informou que não comentará detalhes por orientação jurídica.
A BMP declarou que os valores desviados estavam em sua conta de reserva no BC e que não houve impacto aos clientes. A instituição afirma que tem colaterais suficientes para cobrir o montante envolvido.
O ataque usou a modalidade conhecida como “Supply Chain”, na qual o alvo não é diretamente o detentor dos recursos, mas um elo essencial na infraestrutura de transações. A ação teria sido planejada por ao menos seis meses.
Na terça-feira (1), o BC determinou o desligamento da C&M. Dois dias depois, autorizou a retomada das operações sob regime de produção controlada. O diretor da empresa, Kamal Zogheib, afirmou que a companhia manteve postura técnica e colaborativa, com reforço de auditorias e comunicação direta com os clientes afetados.
Caso os valores estimados se confirmem, o ataque superará todos os anteriores registrados no Brasil. Entre os maiores episódios anteriores estão:
- Operação DeGenerative AI (2024): R$ 110 milhões;
- Invasão ao Banco do Brasil (2023/2024): R$ 40 milhões;
- Vazamento no Siafi (2024): R$ 14 milhões;
- Invasão ao BRB com ransomware LockBit (2022): tentativa de extorsão de R$ 5,2 milhões.
O caso também reavivou a memória de grandes assaltos físicos, como o roubo ao Banco Central de Fortaleza, em 2005 (R$ 164,7 milhões), e o arrombamento à agência do Itaú na Avenida Paulista, em 2011 (R$ 500 milhões em valores e joias).
A C&M, sediada em Barueri (SP), mantém escritórios nos EUA desde 2015 e emprega cerca de 250 pessoas.
