Empresa que presta serviços de integração bancária foi alvo de ciberataque em junho; BC e instituições financeiras investigam suposto rombo bilionário
São Paulo – Um dos maiores ataques cibernéticos já registrados contra o sistema financeiro brasileiro pode ter resultado no desvio de até R$ 1 bilhão, de acordo com informações apuradas por autoridades e veículos de imprensa. A vítima foi a C&M Software, uma empresa de tecnologia que fornece infraestrutura de integração bancária para instituições que não possuem conexão direta com o Sistema Financeiro Nacional (SFN).
A C&M atua como uma espécie de “ponte” entre instituições menores — como fintechs, cooperativas de crédito e provedores de contas de pagamento — e o Banco Central (BC), facilitando operações como transferências via TED, PIX e outras transações transacionais. Ao ser invadida por hackers, sua infraestrutura pode ter sido usada para enviar transferências não autorizadas em nome de clientes diversos, causando prejuízos ainda em levantamento.
O que se sabe até agora
O ataque teria ocorrido no início de junho de 2025, mas veio à tona apenas nos últimos dias, após o Banco Central confirmar que tomou conhecimento da invasão e acionou mecanismos de investigação e segurança. A entidade disse que “nenhum sistema próprio foi comprometido” e que as fraudes ocorreram em ambiente privado, isto é, dentro da estrutura da C&M Software.
Segundo o jornalista Lauro Jardim, do jornal O Globo, o rombo pode ultrapassar R$ 1 bilhão, embora o valor exato ainda esteja sob apuração. As transações suspeitas foram realizadas com a utilização de credenciais legítimas de instituições financeiras que usavam os serviços da C&M para se conectar ao sistema bancário — o que ampliou o alcance e a gravidade do ataque.
Como ocorreu o ataque
Ainda não há detalhes oficiais sobre como os hackers conseguiram acesso ao sistema da C&M. Fontes próximas à investigação acreditam que o ataque envolveu engenharia social e possível comprometimento de chaves privadas ou certificados digitais usados para autenticar transações bancárias. A suspeita é de que os criminosos tenham se aproveitado das permissões concedidas pela plataforma para disfarçar os desvios como operações regulares.
Por utilizar o sistema da C&M, as instituições afetadas podem ter autorizado, sem saber, milhares de transações para contas controladas pelos hackers — que imediatamente esvaziaram os valores ou espalharam o dinheiro em uma complexa rede de contas, dificultando o rastreio.
Quem foi afetado
O ataque não comprometeu diretamente os sistemas das instituições maiores, mas afetou fintechs, bancos menores e cooperativas de crédito que dependem da C&M para transacionar com o sistema financeiro. Ainda não há uma lista oficial das empresas prejudicadas, mas algumas delas já notificaram o Banco Central e iniciaram investigações internas e medidas emergenciais de contenção.
A Febraban (Federação Brasileira de Bancos) e a ABFintechs acompanham o caso com preocupação, já que o episódio escancara a vulnerabilidade de intermediários privados que atuam como pontos de integração entre o mercado e o sistema oficial.
Medidas do Banco Central
Em nota, o Banco Central disse que:
“O incidente está sendo acompanhado de perto pelo BC, que reforça que os seus próprios sistemas permanecem íntegros e seguros. O BC já acionou as instituições envolvidas e está colaborando com as autoridades competentes para a apuração dos fatos e responsabilização dos culpados.”
O órgão também reforçou que o sistema PIX permanece seguro, e que o problema não está relacionado ao funcionamento da plataforma, mas sim ao mau uso ou falha de segurança em um prestador terceirizado.
Investigação e providências
A Polícia Federal, o Ministério Público Federal e o Conselho de Controle de Atividades Financeiras (Coaf) já estão envolvidos na apuração. A C&M Software ainda não se pronunciou oficialmente em detalhes sobre o caso, limitando-se a afirmar que colabora com as autoridades e está “reestruturando protocolos de segurança”.
Segundo especialistas em cibersegurança, o ataque levanta questões sobre a terceirização de conexões críticas com o sistema financeiro e a necessidade de auditorias regulares em prestadores de serviços tecnológicos do setor.
Impactos e riscos
Além do prejuízo financeiro direto, o ataque pode ter consequências regulatórias para as instituições afetadas e abalar a confiança no uso de intermediários tecnológicos. Autoridades estudam revisar as normas de segurança para integradores privados, como a C&M, e há pressão para que as fintechs aumentem seus padrões internos de auditoria digital.
Especialistas alertam que este tipo de ataque pode se tornar mais comum à medida que o sistema financeiro se digitaliza. “Há uma corrida entre inovação e segurança. Quando a segurança falha, o prejuízo não é só financeiro, é de credibilidade”, afirma o analista financeiro André Miceli.
