Na tarde de segunda‑feira, 1° de julho de 2025, um ataque explosivo atingiu o sistema financeiro brasileiro. Hackers invadiram a conta de reserva do Banco Central do Brasil é isso mesmo, aquela conta usada só para liquidação entre bancos e roubaram mais de R$ 1 bilhão em ativos de seis instituições financeiras. Curiosamente, o Bradesco afirmou que não foi afetado isso já mostra o nível de confusão e dúvida que tomou o mercado em poucas horas.
O ponto crítico foi a C&M Software, uma prestadora autorizada e supervisionada pelo BC que fornece APIs e webservices para acesso direto às mensagens do Pix, TED, DDA e outros arranjos do Sistema de Pagamentos Brasileiro. Ou seja, ela é a porta de entrada dos sistemas do SPB que interligam bancos e fintechs. Foi ali que os criminosos assinaram o ponto.
Segundo a empresa, ela foi “vítima direta da ação criminosa” que teria envolvido roubo de credenciais de clientes para tentar acesso fraudulento aos sistemas. C&M afirma que seus sistemas críticos continuam íntegros, os protocolos de segurança foram executados e que está colaborando com o Banco Central e a Polícia Civil de São Paulo, respeitando a investigação sigilosa.
Nota: o BC confirmou o ataque, mas até onde se sabe ainda não divulgou os valores exatos roubados. Então os “mais de R$ 1 bilhão” vêm de fontes não oficiais, embora bastante confiáveis. Ele também determinou que o acesso das instituições às infraestruturas operadas pela C&M fosse imediatamente desligado após a detecção.
O BC e a PF na linha de frente da investigação
O Banco Central já declarou que suspendeu imediatamente o acesso da C&M às suas infraestruturas, enquanto a Polícia Federal conduz investigações que apontam ser o maior ataque hacker da história do sistema financeiro nacional . A C&M colabora com as autoridades e mantém silêncio estratégico sobre detalhes, por orientação jurídica e respeito às apurações.
A BMP esclareceu que os recursos roubados estão em suas contas reserva no BC e que não há impacto nas contas dos clientes finais. Segundo a instituição, recursos suficientes em colaterais garantem que não haja prejuízo operacional ou financeiro para parceiros ou clientes. A BMP segue operando normalmente e garante que tomou todas as medidas legais cabíveis, mantendo a integridade do sistema como prioridade.
Certamente esse episódio é um alerta, estamos cada vez mais interconectados, e uma falha num elo pode derrubar toda a cadeia. O incidente obrigou uma reação em cascata: bloqueios em exchanges, reforços de compliance instantâneo, desligamento de serviços críticos tudo isso em poucas horas.
Mais do que nunca, plataformas bancárias e de cripto precisam investir em monitoramento em tempo real. Mas só isso não basta, é preciso elevar o nível de segurança no SPB e nos fornecedores que atuam como intermediários.
