Ataque hacker afeta sistema de fintechs e prejuízo pode superar R$ 1 bi

O sistema financeiro brasileiro está em alerta após um ataque cibernético de grandes proporções atingir a infraestrutura tecnológica da C&M Software, uma empresa crítica ao ecossistema de pagamentos digitais e interbancários. Segundo o "Brazil Journal", o prejuízo estimado pode ultrapassar R$ 1 bilhão, embora os valores exatos ainda não tenham sido oficialmente confirmados.

A C&M é responsável por conectar instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix. Autorizada e supervisionada pelo Banco Central, a empresa teve uma falha de segurança explorada por hackers na última segunda (1º), comprometendo diretamente contas operadas por grandes instituições.

A BMP, uma das principais fornecedoras de tecnologia de “banking as a service” no Brasil, confirmou que a invasão comprometeu contas reserva mantidas no Banco Central por seis instituições financeiras, incluindo ela própria. Essas contas são utilizadas exclusivamente para liquidações interbancárias, ou seja, não envolvem saldos de clientes finais nem de contas digitais.

Em nota oficial enviada à Let's Money, a BMP esclareceu que nenhum cliente da empresa foi afetado e que o incidente envolveu exclusivamente recursos da conta reserva junto ao Banco Central. A instituição afirmou ter adotado todas as medidas operacionais e legais cabíveis e garantiu possuir colaterais suficientes para cobrir integralmente o valor impactado.

“Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados. Seguimos operando normalmente, com total segurança”, disse a empresa.

Por meio de sua conta no LinkedIn, o CEO da BMP, Carlos Benitez, disse que a instituição financeira está funcionando normalmente e que, mesmo diante do pior ataque hacker de todos os tempos, a BMP demonstrou sua solidez e compromisso com seus clientes.

"A BMP é um Banco, pensa como Banco e será um dos grandes Bancos deste país. 100% dos recursos dos nossos correntistas foram protegidos. Essa é a força de uma instituição que alia tecnologia, segurança e responsabilidade bancária em todos os níveis da operação. Seguimos firmes, ainda mais preparados, e com a confiança de quem já nasceu digital e pensa grande”, apontou Benitez.

CONFIRA A NOTA DA BMP NA ÍNTEGRA:

A BMP informa que, nesta segunda-feira, foi identificada uma ocorrência de segurança envolvendo a C&M Software — empresa autorizada e supervisionada pelo Banco Central do Brasil, responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix.

O incidente de cibersegurança comprometeu a infraestrutura da C&M e permitiu acesso indevido a contas reserva de seis instituições financeiras. As contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária — sem qualquer relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP.

Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados.

No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais.

A C&M Software foi imediatamente desconectada do ambiente do Banco Central, e as autoridades competentes, incluindo o próprio BC, já estão conduzindo uma investigação detalhada sobre o ocorrido.

A BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações.

Para mais informações, nossa equipe de comunicação institucional está à disposição.

BMP São Paulo, 2 de julho de 2025

Após a notificação do incidente, o Banco Central determinou o desligamento imediato da C&M de sua infraestrutura para evitar qualquer risco de propagação do ataque. Segundo o BC, sua própria estrutura não foi afetada.

Equipes técnicas do Banco Central, em conjunto com a Polícia Federal, investigam o ataque para identificar os responsáveis, calcular os prejuízos e reforçar a segurança do sistema.

Fontes que acompanham o caso classificam o episódio como um dos maiores ataques cibernéticos da história do sistema financeiro brasileiro.

A C&M e a BMP operam nos bastidores de diversos bancos digitais e fintechs por meio de soluções white label. Embora o cliente final visualize a marca da fintech, a infraestrutura por trás frequentemente pertence a empresas como essas.

O caso acendeu um alerta entre especialistas do setor: vulnerabilidades nas camadas intermediárias de tecnologia representam riscos indiretos ao sistema financeiro como um todo, mesmo sem impacto direto nas contas dos usuários ou nas operações do Banco Central.

Apesar da gravidade do ataque, as autoridades afirmam que a situação está sob controle e que não há indícios de novos acessos indevidos neste momento.