Na última quarta-feira (2), um ataque hacker contra a infraestrutura de uma empresa que conecta bancos ao sistema do Banco Central causou forte comoção no mercado financeiro. O caso, que já é tratado como um dos maiores crimes cibernéticos do setor no Brasil, revelou falhas graves na proteção de credenciais e movimentações digitais. As autoridades investigam o episódio, enquanto especialistas apontam os riscos sistêmicos e operacionais desse tipo de invasão.
O elo vulnerável: o papel da C&M Software
A C&M Software é uma empresa brasileira de tecnologia especializada na conexão de instituições financeiras menores ao Banco Central e ao Sistema de Pagamentos Brasileiro (SBP), incluindo o sistema PIX. Com atuação nacional e internacional, está homologada pelo BC desde 2001. Seu papel é ser a ponte entre bancos e as estruturas oficiais de operação financeira.
O que se sabe sobre o ataque
A empresa comunicou ao BC que criminosos acessaram suas infraestruturas usando credenciais legítimas de clientes — como logins e senhas — para se infiltrar de forma fraudulenta nos sistemas. Esse acesso permitiu a entrada em contas de reserva de, pelo menos, seis instituições financeiras, com a suspeita de que valores expressivos tenham sido desviados. Fontes estimam perdas em torno de R$ 800 milhões, mas o BC ainda não confirmou oficialmente o montante.
Como os criminosos agiram
O ataque seguiu um padrão conhecido como “ataque à cadeia de suprimentos”, quando criminosos exploram fragilidades nos sistemas de terceiros que prestam serviços a bancos ou grandes instituições. Segundo especialistas, a ação foi dividida em quatro fases:
- Comprometimento inicial: os invasores teriam usado engenharia social para enganar funcionários e obter acesso a credenciais privilegiadas;
- Reconhecimento interno: com o ambiente já comprometido, exploraram sistemas, coletaram senhas e mapearam permissões;
- Acesso aos sistemas de produção: obtiveram domínio sobre contas de liquidação e ambientes financeiros sensíveis;
- Execução rápida: realizaram transações fora do horário comercial e converteram valores em criptoativos para dificultar o rastreamento.
Quais instituições foram atingidas
Até o momento, o Banco Central não divulgou a lista completa de afetados. A BMP, uma fintech que utiliza os serviços da C&M Software, confirmou ter sido uma das vítimas. Reportagens também citam a Credsystem e o Banco Paulista como instituições impactadas, mas nenhuma confirmação oficial foi dada até agora.
Impactos além do dinheiro
Especialistas apontam que, além das perdas financeiras, o ataque trouxe três grandes consequências:
- Reputacional, com o desgaste da imagem de empresas afetadas;
- Sistêmico, ao expor falhas na gestão de acessos privilegiados;
- Operacional, ao escancarar a urgência de revisar políticas de segurança.
Embora o BC afirme que dados de clientes não foram comprometidos, o risco à confiança no sistema financeiro é real.
E agora? Quais os próximos passos
Logo após o ataque, o BC determinou o desligamento do acesso das instituições afetadas aos sistemas da C&M Software. A suspensão total foi substituída, no dia seguinte, por uma suspensão parcial, após a adoção de medidas de contenção pela empresa.
A Polícia Federal abriu inquérito para investigar o caso, e a Polícia Civil de São Paulo também conduz uma apuração paralela, com foco na identificação dos responsáveis e no rastreamento dos valores desviados. Como o caso envolve múltiplas instituições, a atenção agora também se volta aos órgãos reguladores, como o Conselho Monetário Nacional.
[ Fonte: G1.Globo ]
