C&M Software retoma operações do Pix após ataque hacker com autorização do BC

Da redação de LexLegal
Em meio a um dos episódios mais sensíveis envolvendo a segurança do sistema financeiro nacional neste ano, a C&M Software anunciou na manhã desta quinta-feira (3) a retomada de suas operações relacionadas ao Pix. A empresa, especializada em soluções tecnológicas para instituições financeiras, foi vítima de um sofisticado ataque cibernético que resultou no desvio de milhões de reais mantidos por bancos em contas reservas junto ao Banco Central (BC).
Leia também: ONS determina aumento do uso de térmicas para garantir energia no segundo semestre
A restauração do funcionamento ocorre “sob regime de produção controlada”, conforme informou a própria empresa em nota oficial. A medida foi tomada logo após o Banco Central revisar sua orientação inicial, que determinava a suspensão integral das atividades da companhia. Agora, o BC autorizou uma retomada parcial dos serviços, condicionada a uma série de exigências técnicas e operacionais.
Segundo o Banco Central, a decisão foi possível graças à apresentação de evidências pela C&M de que medidas efetivas foram adotadas para reforçar os sistemas de defesa e prevenir novas invasões. A retomada está autorizada somente em dias úteis, entre 6h30 e 18h30, e depende do consentimento explícito das instituições financeiras participantes do Pix que utilizam os serviços da empresa.
Além disso, o BC destacou que os serviços reativados devem operar sob monitoramento rigoroso, com mecanismos robustos de detecção de fraudes e controle de limites transacionais. A intenção é garantir que as falhas exploradas pelos invasores estejam efetivamente corrigidas e que a integridade do Sistema de Pagamentos Brasileiro (SPB) não seja mais colocada em risco.
Em nota divulgada nesta manhã, a C&M reforçou que foi alvo de uma ação criminosa e negou qualquer responsabilidade sobre o incidente. “Desde o primeiro momento, temos colaborado ativamente com as autoridades e confiamos plenamente na demonstração de nossa isenção quanto à origem do incidente, mesmo diante de ilações ou tentativas externas de antecipar julgamentos”, declarou a empresa.
Ainda segundo o comunicado, a C&M ativou imediatamente todos os seus protocolos de segurança, o que incluiu a implementação de auditorias independentes, o fortalecimento de controles internos e o contato direto com os clientes impactados. Na quarta-feira (2), a empresa já havia afirmado que seus sistemas críticos continuavam operacionais e que a infraestrutura tecnológica principal não foi comprometida de forma estrutural.
O ataque hacker ocorreu na terça-feira (1º) e mobilizou autoridades do sistema financeiro nacional. De acordo com informações repassadas pelo Banco Central, os invasores teriam utilizado credenciais vazadas de clientes da C&M — como login e senha — para acessar os sistemas da empresa. Ao tomar conhecimento do incidente, a própria C&M notificou o Banco Central, que determinou o bloqueio imediato do acesso ao sistema por parte das instituições financeiras atendidas pela companhia.
A natureza do ataque chamou atenção de especialistas em segurança digital, já que as contas-alvo dos hackers eram contas reservas — depósitos que os bancos mantêm no Banco Central para fins regulatórios e para garantir a liquidez do sistema financeiro. Embora o Pix esteja inserido dentro da estrutura do SPB, o BC informou que, até o momento, não há indícios de que as transações instantâneas tenham sido afetadas diretamente pelo desvio.
Fundada com foco em prover soluções para integração no ecossistema do Sistema de Pagamentos Brasileiro, a C&M é responsável por intermediar a troca de informações entre diversas instituições financeiras conectadas à estrutura regulatória e operacional do Banco Central. Dentre os serviços prestados, está a administração de plataformas que suportam operações do Pix, liquidação de transferências e automatização de processos financeiros.
O ataque gerou preocupação não apenas pelo impacto financeiro, mas também pelo risco sistêmico a um dos pilares mais recentes e bem-sucedidos da inclusão financeira no país: o Pix. Segundo fontes do setor, o episódio reforça a necessidade de protocolos mais rigorosos de autenticação, especialmente em empresas que prestam serviços intermediários entre instituições e o Banco Central.
A restauração gradual das atividades da C&M é vista com cautela por analistas e especialistas do setor, que apontam para a urgência de rever os modelos de governança e de resposta a incidentes cibernéticos. O episódio também serviu de alerta para outras empresas de tecnologia financeira que operam no ambiente regulado do SPB.
Ainda não há confirmação oficial sobre o valor total desviado, mas estima-se que o montante ultrapasse centenas de milhões de reais. A Polícia Federal investiga o caso em conjunto com o Banco Central e instituições de segurança digital, e até o momento não há informações sobre a identificação dos autores do ataque.
Especialistas alertam que, diante da crescente sofisticação das ameaças cibernéticas, a blindagem do sistema financeiro passa a depender não só das instituições reguladas diretamente pelo BC, mas também das chamadas “empresas ponte” — como é o caso da C&M — que prestam serviços críticos de infraestrutura e integração entre sistemas.
Veja também: Brasil assume Mercosul com proposta de mais integração regional
O BC reforçou, em nota, que monitora o caso de perto e que novas medidas poderão ser adotadas para proteger os usuários e o bom funcionamento do sistema financeiro. A expectativa é que, com o avanço das investigações e a possível recuperação dos valores desviados, haja um reequilíbrio da confiança nas operações digitais que envolvem o Pix e os demais serviços do SPB.