O sistema financeiro brasileiro amanheceu em alerta nesta terça-feira (1º de julho) após um ataque cibernético de grandes proporções comprometer a infraestrutura tecnológica de uma prestadora de serviços crítica ao ecossistema bancário e de pagamentos digitais.
Segundo informações preliminares, criminosos digitais exploraram uma vulnerabilidade na C&M Software, empresa autorizada e supervisionada pelo Banco Central, responsável por interligar instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) — inclusive ao ambiente de liquidação do Pix. O prejuízo estimado pode ultrapassar R$ 1 bilhão, embora os valores exatos ainda não tenham sido oficialmente confirmados.
Invasão compromete contas reserva de grandes instituições
A BMP, uma das principais provedoras de tecnologia de “banking as a service” no país, confirmou que o incidente de segurança comprometeu contas reserva mantidas no Banco Central por seis instituições financeiras, incluindo a própria BMP, o Bradesco e a Credsystem.
Essas contas são utilizadas exclusivamente para liquidações interbancárias — ou seja, não envolvem contas de clientes finais nem saldos de contas digitais.
Em nota oficial, a BMP reforçou que nenhum cliente foi afetado e que o ataque envolveu apenas recursos da sua conta reserva no Banco Central. A instituição garantiu que possui colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízos às suas operações ou parceiros comerciais. A empresa também afirmou que já tomou todas as medidas operacionais e legais cabíveis.
Reação das autoridades: acesso da C&M foi desconectado
Após ser notificado sobre o incidente, o Banco Central determinou o imediato desligamento da C&M Software de sua infraestrutura, evitando riscos de propagação do ataque para outras instituições.
De acordo com o BC, sua própria estrutura não foi afetada. Técnicos do banco e agentes da Polícia Federal estão conduzindo investigações para identificar os autores do ataque, estimar os prejuízos e garantir que as falhas de segurança tenham sido completamente sanadas.
Fontes que acompanham o caso de perto classificam o episódio como um dos maiores ataques cibernéticos da história do sistema financeiro nacional.
Impactos no ecossistema Pix e fintechs
A C&M e a BMP fazem parte da espinha dorsal que conecta fintechs e bancos digitais ao SPB e ao Pix, através de soluções white label. Ou seja, embora o cliente enxergue a marca de uma fintech, toda a estrutura tecnológica e operacional por trás pertence a empresas como essas.
Por isso, o incidente causou alarde entre especialistas do setor: brechas nessas camadas de tecnologia representam riscos indiretos ao sistema financeiro nacional, mesmo sem envolvimento direto do governo ou do Banco Central.
Apesar da gravidade do ataque, autoridades asseguram que a situação está contida e que não há novos desvios em andamento neste momento.
Resumo do que se sabe até agora
- O ataque teve como ponto inicial a C&M Software, empresa que conecta instituições ao SPB e ao ambiente Pix;
- Hackers obtiveram acesso indevido às contas reserva de seis instituições financeiras, incluindo BMP, Bradesco e Credsystem;
- A BMP afirmou que nenhum cliente foi afetado e que os recursos acessados estavam em conta no Banco Central, usados apenas para liquidação interbancária;
- O prejuízo total pode ultrapassar R$ 1 bilhão, segundo fontes extraoficiais;
- O Banco Central desligou imediatamente o acesso da C&M e iniciou apuração junto com a Polícia Federal;
- A BMP segue operando normalmente e afirma que adotou todas as medidas de segurança necessárias.
Nota Oficial da BMp:
NOTA OFICIAL — INCIDENTE DE SEGURANÇA NA INFRAESTRUTURA DA C&M SOFTWARE
A BMP informa que, nesta segunda-feira, foi identificada uma ocorrência de segurança envolvendo a C&M Software — empresa autorizada e supervisionada pelo Banco Central do Brasil, responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix.
O incidente de cibersegurança comprometeu a infraestrutura da C&M e permitiu acesso indevido a contas reserva de seis instituições financeiras, entre elas BMP, Bradesco e Credsystem. As contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária — sem qualquer relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP.
Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados.
No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais.
A C&M Software foi imediatamente desconectada do ambiente do Banco Central, e as autoridades competentes, incluindo o próprio BC, já estão conduzindo uma investigação detalhada sobre o ocorrido.
A BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações.
Para mais informações, nossa equipe de comunicação institucional está à disposição.
BMP
São Paulo, 2 de julho de 2025
