Folha de SP| Ataque hacker desvia cerca de R$ 1 bi após invadir empresa que conecta instituições ao Pix
02/07/2025UOL| Ataque hacker à C&M: prejuízo pode ser ainda maior
02/07/2025Uma pequena fração do dinheiro desviado teria sido recuperada pelas instituições afetadas, via o MED, mecanismo especial de devolução do Pix
“Todos os bancos são obrigados a ter travas de volumetria, e o BC em si não tem. Como conseguem desviar pelo menos R$ 400 milhões e o sistema do BC não detecta risco de fraude?”, questiona uma fonte ouvida pelo Valor.
Uma pequena fração do dinheiro desviado teria sido recuperada pelas instituições afetadas, via o MED, mecanismo especial de devolução do Pix.
Para Alexander Coelho, sócio do Godke Advogados e especialista em cibersegurança, embora o incidente acenda um alerta, não “coloca em xeque” a robustez do sistema. “O SPB [Sistema de Pagamentos Brasileiro] e o Pix possuem múltiplas camadas de segurança. O que falhou foi uma ponte específica usada por alguns bancos.”
O crime está sendo investigado pela Polícia Federal e pelo Conselho de Controle de Atividades Financeiras (Coaf). As instituições financeiras envolvidas bloquearam imediatamente os acessos da integradora.
Há indícios de que parte dos valores desviados pelos hackers foram rapidamente convertidos em criptoativos. Mesmo com a colaboração das exchanges (plataformas digitais onde criptomoedas), é necessária cooperação internacional para conseguir rastrear esses valores, o que dificulta a investigação.
Além dos hackers, que são responsabilizados pelo ataque na esfera criminal, tanto a integradora C&M Software quanto as instituições financeiras afetadas e o BC podem ter que responder pelo caso na esfera civil.
“As empresas que venderam os criptoativos a esses criminosos, sem cumprir diligências mínimas de KYC/AML [conheça seu cliente e combate à lavagem de dinheiro], podem ser responsabilizadas civil e penalmente, especialmente se for comprovado que agiram com dolo eventual ou negligência grave”, diz Victor Jorge, sócio do Jorge Advogados Associados.
Segundo Coelho, a responsabilidade recai primeiro sobre a integradora, por falhas na segurança da sua infraestrutura. As instituições financeiras podem responder se forem constatadas negligências na seleção, contratação e fiscalização da integradora.
Já o BC, se houve negligência em regulação ou fiscalização. “Ele [BC] não responde diretamente por falhas de terceiros, mas se houve alguma omissão por parte do BC em regulação técnica ou em falhas de supervisão, ele também pode ser responsabilizado”, diz.
Procurado pelo Valor, o BC informou que “a C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”.