O recente ataque hacker à empresa C&M Software, responsável por intermediar a comunicação entre instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB), está sendo apontado como o maior golpe cibernético da história do país. A companhia atua principalmente no ecossistema do Pix, e o crime, revelado nesta semana, teria envolvido o desvio de valores de contas de reserva no Banco Central por meio de credenciais indevidas de instituições financeiras. Ao menos seis instituições foram afetadas, com paralisação temporária de operações e prejuízos estimados entre R$ 400 milhões e R$ 3 bilhões.

Foto: Reprodução/Metrópoles

O golpe foi realizado por meio da técnica conhecida como “ataque à cadeia de suprimentos” (Supply Chain), na qual hackers invadem sistemas de fornecedores para alcançar seus clientes. Relatos indicam que os criminosos estariam infiltrados na infraestrutura da C&M Software há meses. A dimensão da operação ainda está sendo apurada por órgãos de segurança e pelo Banco Central, mas fontes do mercado já consideram o episódio como o mais grave do tipo já registrado no setor financeiro nacional.

Com essa magnitude, o ataque supera os maiores casos de crimes cibernéticos no Brasil até então. A chamada “Operação DeGenerative AI”, de 2024, ocupava o primeiro lugar até agora, com prejuízo de R$ 110 milhões, seguida pela invasão ao Banco do Brasil (R$ 40 milhões) e ao sistema Siafi (R$ 14 milhões). O caso do BRB, em 2022, também entrou para o ranking, após criminosos exigirem R$ 5,2 milhões de resgate via ransomware.

O novo crime digital também remete a assaltos históricos, como o roubo de R$ 164,7 milhões do Banco Central em Fortaleza, em 2005, realizado por um túnel, e o megassalto à agência do Itaú na Avenida Paulista, em 2011, que resultou no furto de R$ 500 milhões em bens e dinheiro. Diferentemente desses casos, porém, o ataque à C&M expõe a vulnerabilidade do sistema financeiro digital em um momento em que o Pix se tornou essencial à vida econômica do país.