O ataque cibernético à C&M Software, responsável por conectar instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) e ao Pix, revelou brechas críticas na infraestrutura que sustenta um dos meios de pagamento mais populares do país. A invasão, que se desenrolou silenciosamente ao longo de meses, pode ter resultado em prejuízos que variam de R$ 400 milhões a até R$ 3 bilhões, segundo estimativas preliminares de fontes do mercado.
O episódio acendeu um alerta vermelho no setor bancário e entre reguladores: mesmo com investimentos robustos em segurança digital, provedores de serviços terceirizados continuam sendo alvos preferenciais de grupos especializados em crimes cibernéticos. A escolha da C&M como ponto de ataque exemplifica a modalidade conhecida como “Supply Chain Attack”, em que criminosos se infiltram em fornecedores para atingir múltiplas vítimas com um único golpe.
Pelo menos seis instituições financeiras foram impactadas. O acesso às credenciais permitiu movimentações ilegítimas diretamente das contas de reserva no Banco Central por meio do Pix, paralisando operações de empresas e minando a confiança em transações instantâneas, um dos pilares do sistema financeiro atual.
Risco sistêmico e precedentes perigosos
Se as cifras mais altas se confirmarem, o ataque superará amplamente episódios anteriores, como a fraude de R$ 110 milhões envolvendo deepfakes na chamada “Operação DeGenerative AI”, em 2024, ou o ataque de R$ 40 milhões ao Banco do Brasil em 2023-2024. O crime também faz lembrar invasões físicas de grande porte, como o furto de R$ 164 milhões do caixa-forte do Banco Central em Fortaleza, em 2005, e o roubo de R$ 500 milhões em cofres de uma agência do Itaú na Avenida Paulista, em 2011.
Esses episódios históricos revelam que, no Brasil, grandes crimes financeiros sempre encontraram brechas – físicas ou digitais – e mostram a necessidade de revisão constante dos protocolos de segurança.
Consequências para o mercado e para o consumidor
O ataque gerou instabilidade entre instituições que dependem do ecossistema de pagamentos instantâneos. Empresas tiveram operações interrompidas e clientes ficaram temporariamente sem acesso ao Pix. Fontes apontam que, em alguns casos, valores desviados partiram de contas corporativas que movimentam grandes somas diariamente, ampliando o impacto potencial.
Desde a revelação do ataque, órgãos reguladores discutem mudanças nas normas de segurança para provedores terceirizados, inclusive a exigência de autenticação multifator obrigatória e revisões mais frequentes dos sistemas de conexão com o SPB. Especialistas afirmam que é preciso reforçar não apenas a segurança de bancos e fintechs, mas também a de empresas de tecnologia financeira que atuam nos bastidores e são, muitas vezes, invisíveis ao público.
A crise deixa claro que a digitalização acelerada dos meios de pagamento, embora traga agilidade e inclusão, também amplia a superfície de ataque de criminosos. E expõe a urgência de políticas integradas entre governo, reguladores e mercado para proteger um sistema que movimenta diariamente bilhões de reais.
