Na primeira semana de julho de 2025, o sistema financeiro brasileiro foi sacudido por um dos incidentes cibernéticos mais significativos já registrados no país. A empresa C&M Software (CMSW), que conecta bancos e fintechs ao sistema PIX do Banco Central (BC), foi vítima de um grave ataque hacker. O incidente expôs vulnerabilidades nas cadeias de suprimentos tecnológicas do setor financeiro, levantou questionamentos sobre a gestão de riscos e acelerou o debate sobre as falhas na segurança de infraestruturas críticas.
1. O que aconteceu, em detalhes
Na madrugada de 2 de julho, cibercriminosos utilizaram credenciais — provavelmente obtidas via spear‑phishing ou engenharia social — para invadir sistemas da C&M Software, empresa homologada pelo BC desde 2001 para intermediar conexões de bancos menores ao sistema de pagamentos brasileiro.
O ataque foi do tipo cadeia de suprimentos (“supply chain attack”), onde os invasores se infiltraram no ecossistema financeiro por meio de um fornecedor de infraestrutura. Em seguida, avançaram internamente até alcançar contas‑reserva de pelo menos seis instituições, incluindo a BMP, a Credsystem e o Banco Paulista, causando uma movimentação irregular estimada entre R$ 400 milhões e R$ 800 milhões.
Esse foi um ataque à espinha dorsal do sistema financeiro digital. Quando a ponte entre os bancos e o Banco Central é comprometida, todo o ecossistema fica vulnerável.
Hiago Kin, presidente do Instituto Brasileiro de Resposta a Incidentes Cibernéticos (IBRINC)
2. Impactos imediatos
a) Financeiro
Apesar dos valores elevados, até o momento não há evidência de perda direta aos clientes finais — os recursos eram de “contas de reserva” mantidas no BC para liquidação interbancária. Instituições como BMP afirmam ter colateral suficiente para absorver qualquer prejuízo sem comprometer clientes.
b) Operacional
O BC determinou o desconexão imediata da C&M Software, isolando temporariamente as fintechs afetadas até a adoção de medidas corretivas — medidas que foram, posteriormente, flexibilizadas parcialmente.
c) Reputacional
O ataque gerou dúvidas sobre a robustez da segurança de terceiros que operam infraestrutura crítica. Fintechs associadas à C&M estão sob escrutínio em relação à governança de risco e seleção de fornecedores.
d) Sistêmico
Especialistas alertam para uma fragilidade sistêmica: o uso de “contas de acesso privilegiado” sem controles antifraude comparáveis aos bancos comerciais foi um ponto crítico identificado.
3. Causas e vetores explorados
Conforme o Instituto Brasileiro de Resposta a Incidentes Cibernéticos (IBRINC), o ataque seguiu etapas clássicas:
Engenharia social e acesso inicial: instalação de backdoors ou captura de credenciais via spear‑phishing.
Movimentação interna discreta: recon e coleta de dados de contas críticas.
Acesso a sistemas de produção: egressão administrativa aos sistemas de liquidação.
Execução rápida e lavagem em criptomoedas: conversão em criptoativos e distribuição via múltiplos agentes.
Este padrão evidencia o uso de credenciais privilegiadas e controle deficiente de acesso. Vulnerabilidades conhecidas sem correções aplicadas (“não patchadas”) e falhas na autenticação multifator também são apontadas como fatores facilitadores.
4. Repercussões no setor fintech
A) Desconfiança nos PSTIs
As empresas Prestadoras de Serviços de Tecnologia da Informação (PSTI) homologadas pelo BC estão sob nova pressão regulatória e fiscalização. A dependência de intermediários como a C&M aumenta o risco sistêmico — e esse caso só reforça a necessidade de auditorias externas e due diligence robusta.
B) Revisão de práticas em TPRM
Gestores de fintechs precisarão reforçar Programas de Gerenciamento de Risco de Terceiros (TPRM), incluindo avaliações periódicas, testes de penetração nas APIs e monitoramento contínuo dos acessos remotos de prestadores.
C) Enfoque na segurança de identidade
A captura de credenciais foi epicentro do ataque. Fintechs devem implementar identidade federada com autenticação multifator, análise comportamental e “zero trust” para fornecedores.
D) Evolução dos controles de criptografia
Essa modalidade de crime frequentemente converte os recursos em criptomoedas. A rastreabilidade no PIX, MED (Mecanismo Especial de Devolução) e integração com exchanges devem ser aprimorados para permitir recuperação de ativos e mitigação de roubo.
5. Reação das autoridades
O Banco Central conduziu uma suspensão parcial do acesso da C&M e exigiu aprimoramentos de segurança nas operações da empresa. A Polícia Federal e a Polícia Civil de São Paulo abriram inquéritos para identificar os responsáveis e rastrear os valores subtraídos.
Além disso, o Conselho Monetário Nacional deverá avaliar revisões regulatórias — incluindo maiores exigências e auditorias para PSTIs, assim como mecanismos para limitar volumes e latência de transações via PIX.
6. O que vem pela frente?
Auditoria extensiva da C&M Software: espera-se que seus sistemas sejam submetidos a testes rígidos antes da volta integral ao ambiente do BC.
Reforço das normas do BC: o PIX 2.0 já está em desenvolvimento, contemplando monitoramento avançado de volumes e comportamento transacional.
Risco regulatório crescente: PSTIs podem ser responsabilizadas civil e criminalmente por falhas de segurança. Já se fala até em ações judiciais contra exchanges que receberam criptomoedas sem cumprir KYC/AML.
Maior investimento em cibersegurança: analistas de investimentos já preveem expansão de mercado para empresas de serviços de detecção em tempo real, gestão de acesso, cloud security e resposta a incidentes, especialmente no fintech landscape latino-americano.
Utilizamos cookies essenciais e tecnologias semelhantes de acordo com a nossa Política de Privacidade e, ao continuar navegando, você concorda com estas condições.
Funcional
Always active
O armazenamento ou acesso técnico é estritamente necessário para a finalidade legítima de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador, ou com a finalidade exclusiva de efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas.
Preferências
O armazenamento ou acesso técnico é necessário para o propósito legítimo de armazenar preferências que não são solicitadas pelo assinante ou usuário.
Estatísticas
O armazenamento ou acesso técnico que é usado exclusivamente para fins estatísticos.O armazenamento técnico ou acesso que é usado exclusivamente para fins estatísticos anônimos. Sem uma intimação, conformidade voluntária por parte de seu provedor de serviços de Internet ou registros adicionais de terceiros, as informações armazenadas ou recuperadas apenas para esse fim geralmente não podem ser usadas para identificá-lo.
Marketing
O armazenamento ou acesso técnico é necessário para criar perfis de usuário para enviar publicidade ou para rastrear o usuário em um site ou em vários sites para fins de marketing semelhantes.
