O ataque cibernético envolvendo a empresa C&M Software (CMSW) em julho de 2025 trouxe à tona preocupações importantes sobre segurança digital no setor financeiro brasileiro. O incidente atingiu instituições conectadas à plataforma da CMSW, responsável por fazer a ponte entre bancos menores e o Banco Central, principalmente por meio do sistema de pagamentos instantâneos conhecido como PIX. Mesmo sem prejuízos financeiros diretos aos correntistas, o caso gerou repercussão e expôs vulnerabilidades em processos de controle e proteção de dados bancários.
As investigações iniciais indicam que o ataque começou quando os hackers obtiveram acesso às credenciais de usuários e colaboradores, colocando em risco as contas de reserva de pelo menos seis bancos vinculados ao Banco Central. Em vez de explorar falhas técnicas diretas nos sistemas da CMSW, os atacantes utilizaram estratégias sofisticadas de engenharia social, tirando proveito de vulnerabilidades humanas para conseguir dados sigilosos.
Como ocorreu o ataque hacker à C&M Software?
A dinâmica do ataque seguiu um padrão conhecido como supply chain attack ou ataque à cadeia de suprimentos. Nesse cenário, hackers concentram esforços em prestadores de serviço que conectam diversas empresas ao sistema financeiro central. A estratégia inicial envolveu a coleta de acessos privilegiados, muitas vezes obtidos por meio de spear-phishing ou instalação de softwares de acesso remoto em máquinas de funcionários. Assim, uma vez na infraestrutura da prestadora, os criminosos monitoraram movimentações e mapearam o ambiente para identificar oportunidades de invasão sem levantar suspeitas.
- No primeiro momento, houve a captura e o uso inadequado de credenciais por meio de técnicas de manipulação psicológica.
- Em seguida, os invasores se infiltraram mais profundamente no sistema, acessando contas estratégicas com permissões ampliadas.
- A execução do golpe envolveu transações rápidas, muitas vezes fora do horário comercial, e possível conversão dos valores em ativos digitais para dificultar rastreamento.
Autoridades destacam que esse tipo de abordagem explora justamente a relação de confiança entre bancos e seus fornecedores de tecnologia, tornando o ataque difícil de ser detectado e mitigado em tempo hábil.
Quem foi impactado e quais as consequências para o sistema financeiro?
Instituições financeiras que utilizam soluções da CMSW, como a BMP, Credsystem e Banco Paulista, figuram entre as afetadas, embora o Banco Central não tenha divulgado oficialmente todos os nomes. A BMP, por exemplo, comunicou publicamente a ocorrência e afirmou colaborar para o ressarcimento dos valores e identificação dos autores. A estimativa do prejuízo gira em torno de 800 milhões de reais, valor expressivo que motivou rápida atuação da Polícia Civil e Federal para investigar a rede envolvida.
O ataque resultou em impactos de diversas ordens:
- Reputacionais: empresas passaram a ser associadas a vulnerabilidades de segurança, o que pode afetar a confiança do mercado e de clientes.
- Sistêmicos: evidenciou-se a necessidade de revisão dos processos de gestão de acessos e monitoramento da cadeia de fornecedores.
- Operacionais: ocorreu uma reorganização imediata dos acessos entre instituições e o provedor atacado, além de revisão dos sistemas de autenticação e de monitoramento de transações.
A repercussão nacional e a ênfase do Banco Central no desligamento temporário das instituições afetadas reforçaram a dimensão do problema e o compromisso das autoridades em conter riscos de propagação de incidentes semelhantes no futuro.
Ataques hackers contra sistemas do PIX são comuns?
O cenário de ataques cibernéticos em grande escala, como o dirigido à CMSW, é considerado raro, mas não inédito no Brasil. Segundo especialistas, episódios desse tipo costumam ocorrer algumas vezes por ano e, muitas vezes, acabam encobertos pelas próprias instituições devido ao potencial de impacto econômico e prejuízo à imagem. O destaque deste caso se deve à amplitude atingida, afetando múltiplas instituições e envolvendo valores milionários.
A integração entre sistemas bancários e prestadores de serviços homologados potencializa a eficiência do sistema PIX, porém também amplia a superfície de ataque para criminosos. Os riscos sistêmicos tendem a aumentar conforme o setor financeiro digitaliza ainda mais suas operações, tornando imprescindível o fortalecimento das estratégias de gestão de identidade, autenticação multifatorial e auditoria contínua das permissões concedidas aos colaboradores e parceiros.
Quais os próximos passos e como evitar novos ataques?
Após o episódio, houve uma resposta rápida das entidades regulatórias, como a suspensão parcial dos acessos de clientes à CMSW e o início de investigações pelas polícias Civil e Federal. O fato mobilizou também o Conselho Monetário Nacional e outras entidades, que devem fortalecer diretrizes de prevenção e punição para crimes cibernéticos. Entre as principais medidas preventivas estão:
- Reforço em políticas de segurança da informação por parte das instituições financeiras e de seus fornecedores.
- Revisão dos processos de concessão e monitoramento de acessos privilegiados.
- Capacitação e conscientização dos funcionários para identificar tentativas de engenharia social e phishing.
- Investimento em tecnologias de autenticação avançada e sistemas de detecção de comportamento anômalo.
Apesar dos desafios impostos pelas constantes evoluções tecnológicas e estratégias cada vez mais complexas de grupos criminosos, a rápida atuação das autoridades e dos órgãos reguladores evidencia a priorização da proteção dos ativos do sistema financeiro nacional e o compromisso com a segurança dos processos digitais.