A empresa C&M Software, especializada em soluções tecnológicas para instituições do setor financeiro, foi alvo de um ataque cibernético que resultou no desvio de, pelo menos, R$ 500 milhões.
Os valores estavam alocados em contas reserva mantidas no Banco Central. Fontes ligadas à investigação estimam que o prejuízo total pode ultrapassar R$ 1 bilhão.
A C&M é responsável por intermediar a troca de informações no Sistema de Pagamentos Brasileiro (SPB), operando, inclusive, no ambiente do Pix. Entre seus clientes estão grandes instituições como Bradesco, XP, Minerva Foods e Credsystem.
O Banco Central confirmou o comunicado do incidente por parte da C&M Software e, como medida preventiva, determinou a suspensão temporária do acesso das instituições às plataformas operadas pela empresa. Técnicos da autarquia avaliam o montante efetivamente recuperado, mas ainda não há informações públicas sobre o impacto total ou sobre quais clientes foram atingidos.
A fintech SmartPay, que integra sistemas de pagamento via Pix com criptoativos, informou ter identificado movimentações atípicas em sua plataforma às 00h18 do dia 30 de junho, envolvendo compra de criptomoedas como USDT e Bitcoin. A empresa afirmou que iniciou imediatamente o bloqueio de operações e iniciou o processo de devolução de parte dos valores desviados para as instituições afetadas.
Representante da C&M Software, Kamal Zogheib, explicou que os invasores usaram credenciais de clientes — como logins e senhas — para tentar acessar os sistemas de maneira fraudulenta. Segundo ele, todos os sistemas centrais da empresa continuam operacionais e seguros. A empresa colabora com o Banco Central e com a Polícia Civil de São Paulo nas investigações em andamento.
A Polícia Federal foi notificada, mas ainda não confirmou a abertura formal de inquérito sobre o caso. Uma das empresas que utiliza os serviços da C&M, a BMP, afirmou que o ataque atingiu contas reserva de seis instituições financeiras, incluindo a própria BMP. Tais contas são exigidas pelo Banco Central e são utilizadas exclusivamente para a liquidação de transferências entre instituições.
A BMP informou que nenhum de seus clientes teve prejuízo financeiro. A companhia declarou ainda ter adotado as providências legais e operacionais necessárias, além de possuir garantias suficientes para cobrir integralmente os valores envolvidos.
O advogado Victor Solla Jorge, do escritório Jorge Sociedade de Advogados, avaliou que, caso se comprove falha de segurança por parte da C&M, a empresa poderá ser responsabilizada pelos prejuízos de seus clientes. Como não é uma instituição financeira, a C&M não é obrigada a manter fundos de garantia, embora possa contar com apólices de seguro empresarial.
Em nota, a empresa informou que segue os protocolos de segurança estabelecidos e optou por não divulgar detalhes adicionais, respeitando o sigilo das investigações. Desde a manhã do dia 2 de julho, o site oficial da C&M Software permanece fora do ar.
Leia também:
- Novas regras do Pix entram em vigor com validação de dados na Receita
- Sanepar permite quitar fatura atrasada com cartão na hora do corte