Um incidente cibernético de grandes proporções comprometeu a provedora terceirizada de Tecnologia da Informação C&M Software, responsável pela interconexão das instituições financeiras ligadas ao Sistema de Pagamentos Brasileiro (SPB). Devido ao incidente, confirmado pela Folha de S. Paulo e pelo Valor Econômico, os cibercriminosos conseguiram acesso às contas reservas de ao menos seis organizações e mantidas no Banco Central do Brasil. Os jornais estimam que o prejuízo pode alcançar, pelo menos, entre 400 e 500 milhões de reais.
As contas reservas são utilizadas para armazenar valores para serem usados exclusivamente em liquidações interbancárias movimentadas entre as empresas no SPB, incluindo o ambiente do Pix. Essas contas não estão correlacionadas às carteiras dos clientes finais das companhias afetadas, tampouco afetam os saldos mantidos internamente. Apesar disso, o BC informou à Agência Reuters que imediatamente desconectou a C&M dos sistemas bancários do país.
Ainda segundo a Reuters, o Diretor Comercial da provedora, Kamal Zogheib, informou que o incidente vitimou diretamente a C&M, e envolveu uso de credenciais válidas de clientes em uma tentativa de acessar sistemas e serviços internos. No momento, todas as medidas de Segurança foram implantadas e autoridades do Bacen e da Polícia Civil de São Paulo iniciaram investigações sobre o caso.
A Security Report entrou em contato com a C&M e com o Banco Central em busca de mais informações sobre o incidente, mas até a publicação dessa reportagem, nenhum retorno foi enviado. Este conteúdo será atualizado tão logo essas instituições se pronunciem a respeito.
Organizações afetadas se pronunciam
Entre as seis instituições que tiveram suas contas reservas invadidas está o BMP, instituição focada em Banking as a Service. Em nota divulgado no site oficial e redes sociais, a empresa admitiu o ocorrido e reforçou que nenhum cliente da BMP foi impactado ou teve recursos extraviados. A equipe de comunicação Institucional do banco foi posta à disposição para manter contato direto com os clientes.
“A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais A BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações”, acrescenta o comunicado.
Já o jornal O GLOBO informa que o Banco Paulista também foi impactado pelo incidente. Segundo nota enviada ao veículo de comunicação, uma falha no provedor terceirizado causou interrupção temporária dos serviços de Pix em diversas instituições, incluindo o banco. Devido a isso, suas equipes técnicas já atuavam junto ao BC para restabelecer o serviço. “A falha foi externa, não comprometeu dados sensíveis nem gerou movimentações indevidas”, conclui.
A Security Report publica, na íntegra, nota disponibilizada pelo BMP
“A BMP informa que, nesta segunda-feira, foi identificada uma ocorrência de segurança envolvendo a C&M Software — empresa autorizada e supervisionada pelo Banco Central do Brasil, responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix.
O incidente de cibersegurança comprometeu a infraestrutura da C&M e permitiu acesso indevido a contas reserva de seis instituições financeiras, entre elas a BMP. As contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária — sem qualquer relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP.
Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados.
No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais.
A C&M Software foi imediatamente desconectada do ambiente do Banco Central, e as autoridades competentes, incluindo o próprio BC, já estão conduzindo uma investigação detalhada sobre o ocorrido.
A BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações.
Para mais informações, nossa equipe de comunicação institucional está à disposição.
BMP
São Paulo, 2 de julho de 2025”.
*Com informações da Agência Reuters, Valor Econômico, O GLOBO e Folha de S. Paulo
