O ação de hackers sobre a infraestutura da C&M Software, empresa de tecnologia que conecta os sistemas das instituições financeiras aos do Banco Central, já está sendo considerado o maior ataque cibernético da história do sistema financeiro brasileiro.

Não há confirmação oficial de valores, mas o mercado fala em cifras entre R$ 800 milhões e mais de R$ 1 bilhão. Os criminosos conseguiram desviar recursos de contas reservas de clientes da C&M.

BMP confirmou, em declarações à imprensa, um desvio milionário. Banco Paulista, Credsystem e Banco Carrefour  também confirmam que foram atingidos e alguns ainda estão com as operações de Pix suspensas — mas não dizem se perderam dinheiro com a ação dos hackers.

A EXAME apurou ainda que a Igreja evangélica Bola de Neve é uma das afetadas e suas operações financeiras estão restritas. Procurada pela reportagem, a instituição não se manifestou.

O que faz a C&M

A C&M é um Provedor de Serviços de Tecnologia da Informação (PSTI) autorizado e supervisionado pelo Banco Central que presta serviços de tecnologia para instituições financeiras que não possuem infraestrutura própria de conexão ao sistema financeiro nacional. É uma ferramenta também conhecida como "banking as a service".

O principal da C&M é intermediar a comunicação e liquidação financeira entre instituições clientes e o Sistema de Pagamentos Brasileiro (SPB), incluindo a liquidação do Pix, TED e boletos bancários.

"O ataque foi executado a partir de uma simulação fraudulenta de integração, utilizando-se de credenciais legítimas de um cliente para acessar os serviços como se fosse uma instituição financeira autorizada", explica a empresa em seu site, em uma sessão de perguntas e respostas sobre o incidente.

"Não houve invasão direta aos sistemas da CMSW. Os sistemas críticos seguem íntegros e operacionais. O que houve foi o uso indevido de integrações legítimas, por meio de credenciais comprometidas de terceiros", afirma. 

Veja, a seguir, a lista de clientes da C&M Software que se manifestaram sobre o ataque até agora e no que atuam essas instituições financeiras.

BMP: CEO confirma desvio de R$ 400 milhões

Autorizada a funcionar como instituição financeira desde 2009, a BMP teve sua infraestrutura de conexão com o BC parcialmente comprometida após o ataque. “A falha técnica ocorreu fora do ambiente interno da BMP, não causando movimentações atípicas em contas de nossos clientes”, afirmou, em nota, ressaltando que nenhum dado sensível teria sido comprometido.

Em entrevista ao NeoFeed, o CEO da instituição financeira, Carlos Benitez, confirmou o desvio dos R$ 400 milhões, mas afirmou que cerca de R$ 160 milhões foram recuperados.

A EXAME apurou que desde às 17h30 da quarta-feira, 2, os pagamentos via Pix da BMP foram restabelecidos, funcionando por meio de um provedor reserva em plano de contingência. Além disso, todos os desembolsos previstos para o dia 2 foram devidamente realizados via TED.

Dinheiro que some em segundos: o roubo de R$ 1 bilhão e as lições para o futuro da cibersegurança

Banco Paulista: banco é comandado por ex-presidente da bolsa

O Banco Paulista também confirmou a falha no provedor terceirizado responsável pela conexão com o Banco Central, que causou a interrupção temporária do serviço de Pix da instituição. “A falha foi externa, não comprometeu dados sensíveis nem gerou movimentações indevidas”, diz nota.

Fundado em 1990, o banco foca em oferecer soluções financeiras para empresas, com serviços como gestão de fluxo de caixa, crédito, câmbio e investimentos.

A instituição é majoritariamente controlada por Álvaro Augusto Vidigal, um banqueiro que também foi presidente da Bovespa entre 1991 e 1996. Em 2019, executivos do Banco Paulista chegaram a ser presos na Operação Lava Jato e Vidigal, citado em delações.

Questionada se a operação com PIX foi restabelecida, a assessoria da instituição disse que "não há novo posicionamento a respeito".

Credsystem: a empresa de crédito dos emergentes

Outra afetada pelo ataque cibernético, a Credsystem declarou estar ciente do incidente sofrido pela C&M, e que o impacto direto nas operações se restringe ao Pix.

A empresa nasceu em 1996 para oferecer serviços para classes econômicas emergentes. Hoje, possui cerca de 400 funcionários e 130 parcerias com varejistas. Em 2024, a instituição chegou ao marco de 44 milhões de cartões de crédito emitidos e mais de 120 milhões de transações processadas. 

A EXAME também procurou a empresa para saber se as operações de Pix voltaram ao normal. A Credsystem respondeu que não vai mais comentar o assunto.

Banco Carrefour: desconectada do BC por medida preventiva

À EXAME, o Banco Carrefour confirmou que também utilizava os serviços da empresa que sofreu o ataque hacker. Mas afirmou que nem a instituição, nem seus clientes foram afetados.

"O Banco Carrefour informa que nem a instituição nem seus clientes foram afetados financeiramente pelos atos envolvendo a empresa C&M Software.

As operações seguem funcionando normalmente, com exceção da funcionalidade PIX, que está temporariamente indisponível devido a uma desconexão desse tipo de transação junto ao Banco Central do Brasil, em medida preventiva adotada pelas autoridades.

A indisponibilidade não impacta os clientes, que continuam contando com outras alternativas de pagamento. O Banco Carrefour segue monitorando a situação e adotando protocolos contingenciais para garantir a continuidade dos serviços e apoiar a normalização do PIX".

O banco é a unidade financeira do Grupo Carrefour Brasil, que oferece cartões de crédito, empréstimos e seguros. Os produtos financeiros facilitam o consumo no próprio ecossistema do grupo, que inclui Carrefour, Atacadão e Sam’s Club.