Exclusivo: Fintech afetada pelo ‘roubo do século’ já recuperou R$ 150 milhões, mas a maior parte do dinheiro roubado ainda está no “limbo”

O maior roubo da história do Brasil, estimado em mais de R$ 1 bilhão, ocorreu na C&M Software, mas boa parte do prejuízo ficou com uma de suas clientes: a BMP. 

Fontes que acompanham de perto o caso informaram ao Seu Dinheiro que a prestadora de serviços de Banking as a Service (BaaS) perdeu cerca de R$ 400 milhões devido ao ataque cibernético ocorrido na última quarta-feira (1º).

Até o momento, cerca de R$ 150 milhões já foram recuperados, de acordo com fontes a par do assunto.

• VEJA TAMBÉM: Quais são as melhores ações, fundos imobiliários, títulos de renda fixa, ativos internacionais e criptomoedas para o 2º semestre de 2025? Gigantes do mercado financeiro revelam suas apostas

A devolução dos valores foi possível graças ao MED (Mecanismo Especial de Devolução), que permite a devolução de transações realizadas via Pix.

O MED foi estabelecido pelo Banco Central (BC) com o objetivo de ajudar vítimas de fraudes envolvendo o Pix e simplificar o processo de solicitação de devolução de valores. Por meio desse mecanismo, a vítima pode solicitar o estorno da transação, revertendo o valor transferido ao pagador original.

Apesar da recuperação parcial do dinheiro roubado, a BMP ficou com um rombo relevante nas contas.

A fintech ainda não sabe se conseguirá reaver os R$ 250 milhões restantes, já que a maior parte do dinheiro roubado foi rapidamente convertida em criptomoedas, segundo a fonte.

O ataque hacker bilionário

Até onde se sabe, o ataque hacker afetou diretamente a infraestrutura da C&M Software, permitindo o acesso indevido às contas de reserva de seis instituições financeiras. A BMP foi apenas uma delas.

Em nota à qual o Seu Dinheiro teve acesso, o diretor comercial da C&M afirmou que a empresa é "vítima direta da ação criminosa" e explicou que a invasão envolveu o uso indevido de credenciais de clientes para tentar acessar os sistemas da empresa de forma fraudulenta.

“Por orientação jurídica e em respeito ao sigilo das apurações, a C&M não comentará detalhes do processo, mas reforça que todos os seus sistemas críticos seguem íntegros e operacionais, e que as medidas previstas nos protocolos de segurança foram integralmente executadas”, escreveu a empresa.

Aos clientes afetados, a C&M comunicou que houve uma infecção em um certificado interno, mas não forneceu mais detalhes sobre a vulnerabilidade do sistema.

Vale destacar que nenhum grande banco foi afetado pelo ataque hacker.

Após o ataque cibernético, alguns bancos menores registraram instabilidade em sistemas, incluindo em pagamentos por meio do Pix. No entanto, não se trata de um problema generalizado no sistema.

"Quando a C&M desliga os acessos dos clientes, ela pode provocar alguma estabilidade. Isso certamente causa algum problema para essas instituições de pagamento que usam dos sistemas da fintech", disse uma fonte.

Uma delas foi a Credsystem, empresa especializada em soluções financeiras para o varejo, com foco em serviços de crédito e meios de pagamento para lojistas e clientes.

"O impacto direto nas operações da credsystem se restringe apenas ao serviço de PIX, que está temporariamente fora do ar por determinação do BACEN, porém nossos clientes poderão continuar utilizando normalmente e sem custo o serviço de TED", escreveu a empresa, em nota.

BMP: o “roubo do século” na C&M levou dinheiro dos clientes?

A BMP esclareceu que o roubo envolveu exclusivamente recursos alocados em sua conta de reserva no Banco Central (BC).

Isso significa que, embora o ataque tenha afetado diretamente o capital da companhia, ele não causou danos aos clientes, já que as contas de reserva são utilizadas exclusivamente para liquidação interbancária e não têm relação com as contas dos clientes finais.

A BMP já registrou boletins de ocorrência tanto na Polícia Federal quanto na Polícia Civil, além de ter iniciado ações legais para investigar o caso.

Mas o que faz, de fato, a BMP?

Fundada em 1999, a BMP se autodenomina o "maior BaaS do Brasil". A empresa oferece produtos e serviços bancários que permitem que outras empresas, de diferentes setores, ofereçam serviços financeiros aos seus próprios clientes — uma solução que vai desde crédito até serviços bancários e contas correntes.

Atualmente, a BMP presta serviços para mais de 80 fintechs e 12 empresas listadas na bolsa, incluindo grandes nomes como Itaú Unibanco (ITUB4), Magazine Luiza (MGLU3) e Mercado Livre (MELI34). 

Esse modelo de negócios tem ganhado destaque no mercado, pois permite que empresas de diversos setores entrem no universo dos serviços financeiros, algo que antes era restrito aos bancos e instituições financeiras tradicionais.

No fim, quem vai arcar com o prejuízo do maior roubo da história do Brasil?

A resposta para essa pergunta ainda não está clara. Fontes próximas à investigação afirmam que, até o momento, nem as próprias instituições afetadas têm uma resposta definitiva sobre quem será responsável pelo prejuízo final.

De todas as formas, a BMP não pretende repassar esse prejuízo aos clientes.

Além disso, mesmo com o valor restante ainda não recuperado, a empresa deve se manter financeiramente estável, já que sua estrutura continua funcionando normalmente, afirmou uma pessoa próxima ao tema. 

"A empresa vai perder recursos, mas consegue se sustentar", disse.

A própria BMP garante que "conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais".