Criminosos Desviam R$ 1 Bilhão de Contas Reserva do Sistema Financeiro Brasileiro

Na tarde de 1º de julho de 2025, um ataque cibernético de grande escala comprometeu a infraestrutura da C&M Software, uma provedora de soluções tecnológicas para o sistema financeiro brasileiro. A invasão resultou no desvio de aproximadamente R$ 1 bilhão de contas reserva geridas pela BMP, empresa líder em serviços de banking as a service no Brasil. Os valores foram transferidos para contas de terceiros e convertidos em criptomoedas, como Bitcoin e USDT, por meio de plataformas de pagamento instantâneo (Pix) e exchanges.

O ataque explorou uma vulnerabilidade na mensageria do Sistema de Pagamentos Brasileiro (SPB), permitindo que os criminosos acessassem contas sensíveis, com destaque para as reservas da BMP, que opera no mercado desde 1999. A C&M Software, que conecta diversas instituições financeiras ao SPB e ao Pix, foi imediatamente desconectada do sistema pelo Banco Central (BC) para conter riscos adicionais.

A BMP informou que o impacto financeiro será absorvido por seus colaterais, garantindo que clientes e parceiros não sofrerão prejuízos diretos. Em 2024, a empresa registrou receita bruta de R$ 804 milhões e lucro líquido de R$ 231 milhões, demonstrando solidez para lidar com o incidente. No entanto, o ataque expôs fragilidades em prestadores de serviços terceirizados, que se tornaram elos críticos na infraestrutura financeira do país.

A Polícia Federal, em conjunto com o Banco Central e a Polícia Civil de São Paulo, iniciou uma investigação para identificar os responsáveis e rastrear os valores desviados. Este incidente reforça a necessidade de maior investimento em cibersegurança, especialmente após casos semelhantes, como o de 2020, quando um hacker brasileiro foi acusado nos EUA por extorquir US$ 3,2 milhões em Bitcoin após roubar dados de 300 mil clientes.

O Banco Central segue monitorando a situação, enquanto o mercado aguarda medidas para fortalecer a proteção de sistemas financeiros digitais.