Um ataque cibernético de proporções históricas abalou o sistema financeiro brasileiro na segunda-feira, 1º de julho de 2025, resultando no desvio de mais de R$ 1 bilhão de contas reservas mantidas no Banco Central do Brasil (BC). O incidente, considerado o maior ataque hacker da história do sistema financeiro nacional, teve como ponto de entrada a C&M Software, uma empresa de tecnologia que fornece serviços de integração para instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix. A invasão explorou vulnerabilidades na infraestrutura da empresa, permitindo que criminosos acessassem contas de reserva de pelo menos seis instituições financeiras, como a BMP Money Plus, Banco Paulista e Credsystem, utilizando credenciais obtidas de forma fraudulenta.
O Banco Central confirmou o ataque, mas ainda não divulgou o valor exato do prejuízo, com estimativas variando entre R$ 400 milhões e R$ 1 bilhão, segundo fontes como o Brazil Journal e o Valor Econômico. A BMP, uma das principais afetadas, informou que o ataque comprometeu exclusivamente seus recursos em contas reservas, usadas para liquidações interbancárias, e garantiu que nenhum cliente final foi impactado, pois a instituição possui colaterais suficientes para cobrir o montante desviado. Outras instituições, como a Credsystem, relataram interrupções temporárias no serviço de Pix, mas afirmaram que os serviços de TED permaneceram operacionais, minimizando impactos diretos aos clientes.
Os hackers tentaram lavar parte dos valores roubados convertendo-os em criptomoedas, como Bitcoin (BTC) e Tether (USDT), por meio de plataformas que operam via Pix, incluindo exchanges e mesas OTC. Algumas dessas transações foram bloqueadas por operadores como a SmartPay, que detectou movimentações atípicas e reteve grandes somas, devolvendo-as às instituições afetadas. O FBI, em colaboração com a Polícia Federal brasileira, rastreou parte dos ativos digitais, recuperando cerca de US$ 40 mil com auxílio da Tether, mas a maior parte dos fundos permanece sob investigação.
A C&M Software, que atua desde 1992 conectando bancos e fintechs ao SPB, foi imediatamente desconectada do sistema pelo Banco Central, que determinou o restabelecimento gradual de suas operações sob monitoramento rigoroso a partir de 3 de julho. A empresa afirmou estar colaborando com as autoridades, incluindo a Polícia Civil de São Paulo e a Polícia Federal, que abriram inquéritos para apurar crimes como organização criminosa e lavagem de dinheiro. A prisão de João Nazareno Roque, funcionário da C&M, na sexta-feira, 4 de julho, revelou um componente humano no ataque: ele teria vendido suas credenciais por R$ 15 mil e auxiliado na instalação de códigos maliciosos, permitindo o acesso indevido aos sistemas.
O incidente expôs fragilidades na segurança cibernética do setor financeiro, levantando questionamentos sobre a robustez dos protocolos de autenticação, como a ausência de mecanismos multisig (múltiplas assinaturas) e biometria em transações de alto valor. Especialistas apontam que a dependência de terceiros como a C&M para conectar instituições menores ao BC pode representar um risco sistêmico, especialmente diante de ataques sofisticados que exploram engenharia social e credenciais comprometidas. A falta de alarmes imediatos para movimentações anômalas também foi criticada, sugerindo que os normativos de segurança do Banco Central podem estar desatualizados frente às ameaças atuais, incluindo o uso de inteligência artificial por criminosos.
Embora o ataque não tenha comprometido diretamente as contas de clientes finais, a interrupção temporária do Pix para algumas instituições e a magnitude do desvio geraram preocupações sobre a confiança no sistema financeiro. O caso reforça a necessidade de investimentos em cibersegurança e auditorias independentes para proteger infraestruturas críticas, especialmente em um contexto de crescente digitalização das transações financeiras. As investigações continuam para identificar outros envolvidos e determinar o montante total desviado, enquanto o Banco Central e as instituições afetadas trabalham para restabelecer a normalidade e evitar novos incidentes.
