⚠️ 💥 O que aconteceu? Na madrugada de 1º para 2 de julho de 2025 , hackers invadiram a infraestrutura da C&M Software , uma empresa...
⚠️
💥 O que aconteceu?
Na madrugada de 1º para 2 de julho de 2025, hackers invadiram a infraestrutura da C&M Software, uma empresa de tecnologia que conecta bancos e fintechs ao Sistema de Pagamentos Brasileiro (SPB) — responsável por Pix, TED, boletos e liquidação interbancária.
Segundo apurações iniciais, os criminosos acessaram as contas reserva mantidas no Banco Central por instituições financeiras que usam a C&M como fornecedora, e desviaram ao menos R$ 400 milhões, com estimativas chegando a R$ 1 bilhão, ou até R$ 3 bilhões.
🚨 Quem foi afetado?
-
BMP (uma provedora de Banking as a Service): teve recursos desviados da conta reserva, mas garantiu que os clientes finais não sofreram prejuízo, graças a colateral financeiro suficiente para cobrir o valor.
-
Banco Paulista e outras 5 a 6 instituições, incluindo Nubank, XP e Credsystem, sofreram interrupção temporária nos serviços de Pix e TED.
-
O Banco Central determinou o imediato desligamento da C&M de suas infraestruturas críticas, proibindo conexões até novas auditorias.
🕵️♂️ Como ocorreu o ataque?
-
Os hackers utilizaram credenciais válidas de clientes, acessando diretamente a API e os sistemas da C&M.
-
O modelo de BaaS expôs falhas graves no design de segurança, incluindo:
-
Confiabilidade de integrações via API
-
Falta de segregação de responsabilidades
-
Resposta lenta a incidentes críticos
-
💵 Para onde foi o dinheiro?
-
Parte dos recursos desviados foi convertida em criptomoedas (Bitcoin, USDT) e enviada a exchanges, dificultando o rastreamento.
-
Algumas transações foram bloqueadas ou revertidas por exchanges que acionaram protocolos de compliance (KYC/AML), limitando perdas maiores.
🎯 Impactos imediatos
-
Sistemas de Pix, TED e liquidação ficaram temporariamente instáveis para várias fintechs.
-
O incidente representa grave risco sistêmico: mostra que a dependência de provedores terceirizados pode comprometer toda a economia interbancária.
-
Regulações estão sendo revisadas: o Banco Central alerta para riscos do modelo BaaS e avalia auditorias e certificações mais rígidas.
🔐 Lições aprendidas e próximos passos
Governança e arquitetura:
O mercado acusa a falta de segregação de responsabilidades e protocolos robustos de observabilidade e resposta a incidentes — um design vulnerável em sistemas em cadeia.
Regulação em foco:
O BC reforçará normas para provedores BaaS, incluindo auditorias periódicas, certificações de segurança e limites mais rígidos de acesso à infraestrutura central.
Proteção ao cliente final:
Apesar de não haver prejuízo direto aos correntistas, o episódio pode gerar restrições temporárias em pagamentos, e pressiona bancos a reforçarem seguros e transparência com usuários.
Investigações em curso:
O Banco Central, Polícia Federal e Polícia Civil de SP estão atuando, rastreando recursos em cripto e responsabilizando exchanges que ajudaram involuntariamente.
🧭 O ataque à C&M Software é um marco alarmante: expõe fragilidades do modelo Banking as a Service e acende um alerta para todo o setor financeiro brasileiro. Embora os clientes finais tenham sido protegidos, o caso reforça a urgência por:
-
Fortalecer governança e segurança nas integrações,
-
Reforçar a supervisão regulatória sobre prestadoras de infraestrutura,
-
Ampliar resiliência sistêmica de todo o SPB.
Nas próximas semanas, acompanhemos de perto medidas do Banco Central e resultados das investigações que podem definir novos padrões para fintechs e bancos.
Nenhum comentário