Roubo do século: Banco Central autoriza C&M a religar os serviços após ataque hacker; investigações continuam

Após o maior roubo da história do Brasil, a C&M recebeu autorização do Banco Central (BC) para restabelecer os sistemas, que haviam sido interrompidas em um esforço para estancar a sangria do ataque hacker.

Em comunicado, o BC informou que a suspensão cautelar da empresa foi substituída por uma suspensão parcial, permitindo que os sistemas da fintech fossem restabelecidos sob rigoroso controle.

“A decisão foi tomada após a empresa adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes”, escreveu a autoridade monetária.

Dessa forma, as operações do Pix da fintech voltam ao ar nesta quinta-feira, sob regime de produção controlada.

• VEJA MAIS: Já está no ar o evento “Onde investir no 2º semestre de 2025”, do Seu Dinheiro, com as melhores recomendações de ações, FIIs, BDRs, criptomoedas e renda fixa

As operações da C&M poderão ser restabelecidas em dias úteis, das 6h30 às 18h30, desde que aprovadas expressamente pela instituição participante do Pix e que haja um “robustecimento do monitoramento de fraudes e limites transacionais”.

Em nota enviada ao Seu Dinheiro, a C&M confirmou que todas as medidas de segurança previstas em seus protocolos foram “prontamente implementadas”. Isso inclui auditorias independentes, reforço nos controles internos e comunicação com os clientes afetados.

O diretor comercial da C&M, Kamal Zogheib, afirma que a empresa segue colaborando com o Banco Central e com a Polícia Civil de São Paulo e que “continuará respeitando o sigilo das investigações em curso”.

Roubo do século: como aconteceu o maior ataque hacker da história do Brasil?

O ataque ocorreu por meio de uma vulnerabilidade nos sistemas da C&M, que permitiu ao hacker o acesso a diversas contas de clientes da companhia.

A C&M revelou que o crime envolveu o uso indevido de credenciais de clientes, o que possibilitou o acesso fraudulento.

Dessa forma, os mecanismos de segurança não foram ativados para impedir as transações, que movimentaram rios de dinheiro em poucos minutos durante a madrugada de segunda-feira (30).

Estima-se que o ataque cibernético tenha se aproximado da marca de R$ 1 bilhão em dinheiro roubado, embora o valor final ainda não esteja claro. Desse montante, cerca de R$ 400 milhões foram levados da conta reserva da prestadora de serviços de Banking as a Service (BaaS) BMP no BC.

A C&M é uma das sete empresas autorizadas pelo BC a prestar serviços de tecnologia ao sistema financeiro.

Conhecidas como PSTIs, essas empresas oferecem soluções de processamento de dados para instituições financeiras, especialmente em relação a operações de pagamentos instantâneos como o Pix, e transferências de valores.

A origem da falha e a devolução do dinheiro roubado

Ainda não se sabe exatamente qual foi o ponto de vulnerabilidade que causou o rombo bilionário.

Além disso, não há informações confirmadas sobre o total de valores recuperados até o momento.

Fontes que acompanham de perto o caso informaram ao Seu Dinheiro que a BMP conseguiu reaver cerca de R$ 150 milhões graças ao MED (Mecanismo Especial de Devolução), que permite a devolução de transações realizadas via Pix.

O MED facilita o processo de devolução de transações, permitindo que o valor seja estornado ao pagador original.

Apesar da recuperação parcial do dinheiro roubado, a BMP ficou com um rombo relevante nas contas.

A fintech ainda não sabe se conseguirá reaver os R$ 250 milhões restantes, já que a maior parte do dinheiro roubado foi rapidamente convertida em criptomoedas, segundo a fonte.

No entanto, a BMP explicou que os recursos furtados pertenciam exclusivamente à sua conta de reserva no Banco Central, utilizada para a liquidação interbancária.

Em outras palavras, o ataque não afetou as contas dos clientes finais da instituição, que permanecem seguras. O impacto foi restrito ao capital da própria companhia, que utilizava essas contas para garantir operações internas.