Na madrugada de 30 de junho de 2025, hackers drenaram pelo menos R$ 400 milhões da conta-reserva da BMP Money Plus e de outras instituições financeiras, explorando uma falha na C&M Software — provedora de mensageria que conecta bancos e fintechs ao Pix e ao Banco Central. Um funcionário de TI da C&M vendeu suas credenciais por cerca de US$ 2.700. O resultado: o maior roubo cibernético já registrado contra o sistema financeiro brasileiro, com prejuízos estimados entre R$ 1 bilhão e R$ 1,5 bilhão em todo o ecossistema.

Como o ataque funcionou

A C&M Software atua como PSTI (Provedor de Serviços de Tecnologia da Informação) — uma das poucas empresas autorizadas pelo Banco Central a intermediar mensagens entre instituições financeiras e o SPB (Sistema de Pagamentos Brasileiro). Por essa posição, a C&M tinha acesso direto às contas-reserva de seus clientes no BC, usadas para liquidação de Pix, TED e boletos.

Segundo a The Record, João Roque, funcionário de TI de 48 anos da C&M, foi abordado em um bar por criminosos que o recrutaram para fornecer credenciais de acesso. Em dois pagamentos separados, ele recebeu aproximadamente US$ 2.700 em troca de seu login, senha e orientações para criar contas adicionais no sistema com acesso remoto.

Com essas credenciais em mãos, os atacantes manipularam certificados digitais e chaves privadas de clientes da C&M, incluindo a BMP, Credsystem e Banco Paulista. A partir daí, geraram transações fraudulentas que, por estarem assinadas com os certificados válidos das instituições, foram processadas automaticamente pelo Banco Central e debitadas das contas-reserva. Como não havia transação de origem legítima, os valores simplesmente “desapareceram” dos caixas — sem que os sistemas internos das vítimas acendessem alerta.

O CEO da BMP, Carlos Benitez, revelou em entrevista ao NeoFeed que, nas primeiras horas do ataque, a BMP não detectou anomalia em seus próprios sistemas. Apenas uma transferência atípica de R$ 18 milhões reportada pelo CorpX Bank, por volta das 4h da madrugada, acendeu o alerta. Ao longo do dia, os valores foram sendo sugados por meio de Pix em grande volume e valor.

A escala do prejuízo

Os números variam conforme a fonte, mas a dimensão é inédita. A BMP confirmou perda de R$ 400 milhões e conseguiu recuperar R$ 160 milhões em menos de 48 horas. O valor total desviado do sistema bancário brasileiro é estimado entre R$ 540 milhões (segundo a Polícia Federal) e até R$ 1,5 bilhão, incluindo outras instituições não divulgadas. O Valor Econômico aponta que pelo menos seis instituições foram afetadas.

Instituição Prejuízo Confirmado Recuperação
BMP Money Plus R$ 400 milhões R$ 160 milhões em 48h
Credsystem Não divulgado Pix temporariamente offline
Banco Paulista Sem transações não autorizadas Impacto externo limitado
Outras 3+ instituições Não confirmado Sob investigação

Uma parcela substancial dos recursos foi imediatamente convertida em criptomoedas. O investigador ZachXBT, no Telegram, rastreou entre US$ 30 milhões e US$ 40 milhões convertidos em Bitcoin, Ethereum e USDT por meio de corretoras que aceitam Pix. A Polícia Federal conseguiu bloquear R$ 270 milhões adicionais relacionados ao caso.

O insider como ponto de entrada

O ataque revelou um padrão que não é novo, mas raramente alcança essa magnitude: a ameaça interna como vetor primário. O relatório da Segura Security detalha que o recrutamento do funcionário começou meses antes, em março de 2025, quando criminosos o abordaram socialmente e construíram uma relação de confiança.

A C&M, como PSTI, concentrava credenciais e certificados de múltiplas instituições em um único ambiente. A ausência de controles de acesso privilegiado robustos — como monitoramento comportamental, segregação de segredos de clientes e gestão just-in-time de permissões — permitiu que um único insider comprometesse todo o ecossistema. O CEO da BMP estimou que, com os controles adequados que a instituição já usava internamente, 92% das transações fraudulentas teriam sido bloqueadas automaticamente.

O que muda no sistema

O Banco Central ordenou a suspensão imediata do acesso da C&M ao SPB, deixando instituições dependentes sem conectividade Pix. O episódio acelerou discussões que já ocorriam sobre a segurança dos PSTIs e a governança da cadeia de pagamentos instantâneos. Segundo o Valor Econômico, fontes do mercado questionaram por que o BC não aplicava limites de volume transacionais do lado da infraestrutura, prática já exigida dos bancos.

O mecanismo MED (Mecanismo Especial de Devolução) do Pix recuperou apenas uma fração pequena dos valores. O MED 2.0, em desenvolvimento, permitirá rastreamento mais profundo de transações, mas ainda não está operacional. A expectativa é que o BC reforce regras de compliance cibernético para PSTIs, incluindo exigências de certificação de segurança, auditorias periódicas e segregação obrigatória de certificados por cliente.

A análise da QED Investors destaca que o Brasil realizou mais de 42 bilhões de transações Pix em 2024 — um ecossistema de escala global sem camadas de controle equivalentes. O roubo via C&M torna claro que a velocidade do Pix, que é sua vantagem competitiva, também é o vetor que amplifica o impacto de um único ponto de falha.

Lições para segurança corporativa

O caso C&M oferece um manual do que não fazer em gestão de acesso privilegiado:

  1. Credenciais compartilhadas e sem MFA robusto — um funcionário de nível júnior tinha acesso a certificados de produção de múltiplos clientes.
  2. Ausência de monitoramento comportamental — a criação de novas contas e ativação de acesso remoto não geraram alertas internos.
  3. Segregação insuficiente de segredos — certificados de instituições distintas conviviam no mesmo ambiente sem isolamento.
  4. Falta de limites de transação na camada PSTI — volumes atípicos e horários incomuns não foram sinalizados automaticamente.
  5. Gestão de risco de terceiros (TPRM) frágil — as instituições clientes não auditavam a postura de segurança da C&M com a rigorosidade que a centralidade dela exigia.

Para empresas brasileiras que dependem de terceiros com acesso a sistemas sensíveis, o recado é direto: provedores com privilégio elevado precisam ser tratados como extensão da própria infraestrutura. Auditorias de acesso privilegiado, monitoramento contínuo e response plans compartilhados deixaram de ser recomendação para se tornar requisito de sobrevivência.

Referências