Ciberataque a provedor de TI gera prejuízo de R$ 500 milhões em serviços financeiros

A C&M Software, que atua como parceira terceirizada na administração de troca de informações entre as instituições do Sistema de Pagamentos Brasileiro (SPB), foi alvo de uma invasão cibercriminosa, resultando no acesso a contas reservas de ao menos seis instituições financeiras, mantidas no Banco Central brasileiro. A autoridade monetária bloqueou o acesso da provedora a sua rede e as forças policiais já investigam o incidente

Compartilhar:

Um incidente cibernético de grandes proporções comprometeu a provedora terceirizada de Tecnologia da Informação C&M Software, responsável pela interconexão das instituições financeiras ligadas ao Sistema de Pagamentos Brasileiro (SPB). Devido ao incidente, confirmado pela Folha de S. Paulo e pelo Valor Econômico, os cibercriminosos conseguiram acesso às contas reservas de ao menos seis organizações e mantidas no Banco Central do Brasil. Os jornais estimam que o prejuízo pode alcançar, pelo menos, entre 400 e 500 milhões de reais.

 

As contas reservas são utilizadas para armazenar valores para serem usados exclusivamente em liquidações interbancárias movimentadas entre as empresas no SPB, incluindo o ambiente do Pix. Essas contas não estão correlacionadas às carteiras dos clientes finais das companhias afetadas, tampouco afetam os saldos mantidos internamente. Apesar disso, o BC informou à Agência Reuters que imediatamente desconectou a C&M dos sistemas bancários do país.

 

Ainda segundo a Reuters, o Diretor Comercial da provedora, Kamal Zogheib, informou que o incidente vitimou diretamente a C&M, e envolveu uso de credenciais válidas de clientes em uma tentativa de acessar sistemas e serviços internos. No momento, todas as medidas de Segurança foram implantadas e autoridades do Bacen e da Polícia Civil de São Paulo iniciaram investigações sobre o caso.

 

A Security Report entrou em contato com a C&M e com o Banco Central em busca de mais informações sobre o incidente, mas até a publicação dessa reportagem, nenhum retorno foi enviado. Este conteúdo será atualizado tão logo essas instituições se pronunciem a respeito.

 

Organizações afetadas se pronunciam

Entre as seis instituições que tiveram suas contas reservas invadidas está o BMP, instituição focada em Banking as a Service. Em nota divulgado no site oficial e redes sociais, a empresa admitiu o ocorrido e reforçou que nenhum cliente da BMP foi impactado ou teve recursos extraviados. A equipe de comunicação Institucional do banco foi posta à disposição para manter contato direto com os clientes.

 

“A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais A BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações”, acrescenta o comunicado.

 

Já o jornal O GLOBO informa que o Banco Paulista também foi impactado pelo incidente. Segundo nota enviada ao veículo de comunicação, uma falha no provedor terceirizado causou interrupção temporária dos serviços de Pix em diversas instituições, incluindo o banco. Devido a isso, suas equipes técnicas já atuavam junto ao BC para restabelecer o serviço. “A falha foi externa, não comprometeu dados sensíveis nem gerou movimentações indevidas”, conclui.

 

A Security Report publica, na íntegra, nota disponibilizada pelo BMP

“A BMP informa que, nesta segunda-feira, foi identificada uma ocorrência de segurança envolvendo a C&M Software — empresa autorizada e supervisionada pelo Banco Central do Brasil, responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix.

 

O incidente de cibersegurança comprometeu a infraestrutura da C&M e permitiu acesso indevido a contas reserva de seis instituições financeiras, entre elas a BMP. As contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária — sem qualquer relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP.

 

Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados.

 

No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais.

 

A C&M Software foi imediatamente desconectada do ambiente do Banco Central, e as autoridades competentes, incluindo o próprio BC, já estão conduzindo uma investigação detalhada sobre o ocorrido.

 

A BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações.

 

Para mais informações, nossa equipe de comunicação institucional está à disposição.

 

BMP

São Paulo, 2 de julho de 2025”.

 

*Com informações da Agência Reuters, Valor Econômico, O GLOBO e Folha de S. Paulo

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Unicred do Brasil sustenta Segurança e escala com SASE e inteligência de rede

Em painel no Security Leaders Porto Alegre, instituição e Agility detalham como arquiteturas modernas de conectividade simplificam o acesso de...
Security Report | Destaques

IA, autonomia e Cyber: Líderes discutem equilíbrio entre inovação e fator humano

Até que ponto a Inteligência Artificial agêntica tem condições de agir de forma autônoma, e em que momento o usuário...
Security Report | Destaques

79% dos ataques de ransomware usaram identidades como vetor de acesso inicial

Descoberta foi documentada no State of Ransomware 2026 da Sophos, anunciada hoje (15) pela empresa. De acordo com os executivos...
Security Report | Destaques

Jornada resiliente do Grupo Fácil transforma gestão de brechas e threat intelligence

A companhia de gestão empresarial em saúde contou com a parceria da Clavis para ampliar suas capacidades com SOC e...