A Polícia Civil de São Paulo prendeu, na última quinta-feira (4), um operador de TI acusado de colaborar com o ataque cibernético à C&M Software, empresa que presta serviços de conectividade a diversas instituições financeiras. Segundo a corporação, o funcionário teria permitido a entrada de hackers no sistema, resultando em transferências fraudulentas que alcançaram aproximadamente R$ 541 milhões.
Operação em São Paulo apura ataque cibernético
De acordo com o inquérito instaurado em 30 de junho, o crime foi classificado como furto qualificado por meio eletrônico. As investigações apontam que o operador de TI, lotado na sede da C&M Software, foi aliciado por terceiros e cedeu credenciais internas. Esse acesso irregular possibilitou que solicitações via Pix fossem encaminhadas diretamente ao Banco Central (BC) em nome da BMP Instituição de Pagamento S/A, vítima do desvio milionário.
Durante o cumprimento do mandado, agentes da 4ª Delegacia de Repressão a Delitos Cometidos por Meios Eletrônicos apreenderam equipamentos eletrônicos e documentos que podem detalhar a rota dos valores. Como medida cautelar, a Justiça determinou o bloqueio de R$ 270 milhões encontrados em uma conta usada para receber parte dos recursos desviados.
Fontes ligadas à investigação afirmam que, após ser ouvido, o suspeito admitiu ter fornecido acesso aos demais envolvidos. A Polícia Civil prossegue na identificação de outros participantes — entre eles possíveis financiadores — e não descarta novas prisões.
Banco Central mantém suspensão parcial da C&M Software
O Banco Central foi notificado do incidente na quarta-feira (3) e, imediatamente, ordenou o bloqueio temporário do acesso de instituições financeiras à infraestrutura mantida pela C&M Software. No dia seguinte, após a empresa adotar mecanismos adicionais de segurança, o BC transformou a medida em suspensão parcial, permitindo o restabelecimento gradual de serviços.
Em nota oficial, a C&M Software declarou continuar cooperando com as autoridades e ressaltou que as evidências apontam para uso de engenharia social, e não falha técnica. “Até o momento, não há indícios de vulnerabilidade nos sistemas proprietários”, informou a companhia.
Especialistas em cibersegurança consultados pela reportagem destacam que ataques baseados em engenharia social vêm crescendo no setor financeiro brasileiro. O uso de credenciais legítimas, obtidas por meio de falsos recrutamentos ou promessas de pagamento, dificulta a detecção de fraudes tradicionais e aumenta o potencial de impacto, principalmente em operações instantâneas como o Pix.
Consequências para bancos, clientes e mercado de pagamentos
Relatórios do Banco Central indicam que o Pix movimentou mais de R$ 17 trilhões em 2023, consolidando-se como a principal forma de transferência no país. Diante desse volume, falhas pontuais geram preocupação entre instituições, que dependem de provedores terceirizados para conectar seus sistemas ao BC.
Segundo consultores do setor, a suspensão parcial da C&M Software pode obrigar bancos e fintechs a redirecionar tráfego para outros integradores ou mesmo investir em conexões próprias, elevando custos de curto prazo. Já para o usuário final, não se prevê impacto imediato, pois as instituições mantêm múltiplos canais de liquidação. No entanto, o caso reforça a necessidade de monitoramento constante das autorizações de acesso e da educação de funcionários sobre riscos de engenharia social.
Imagem: ação de outra parte
Órgãos reguladores devem acompanhar a implementação de novas camadas de autenticação para evitar que um único ponto de falha comprometa grandes volumes financeiros. Para alguns analistas, o episódio pode impulsionar ajustes nas regras de certificação de empresas que operam entre bancos e o Sistema de Pagamentos Instantâneos.
Na esfera criminal, a pena para furto qualificado por meio eletrônico varia de quatro a oito anos de reclusão, podendo aumentar em função do valor subtraído e da participação de organização criminosa. A investigação segue sob sigilo e envolve cooperação com autoridades federais para rastrear eventuais transferências para contas no exterior.
Para o leitor, a principal mudança imediata é a intensificação de controles nas transações eletrônicas, o que pode resultar em verificações adicionais de segurança e, consequentemente, em ligeiro aumento no tempo de processamento de determinadas operações.
Se você se interessa por outras ocorrências recentes envolvendo segurança digital, confira também a cobertura completa em nossa seção de Tecnologia, onde são publicados alertas, análises e atualizações sobre o tema.
Curiosidade
Você sabia que o Brasil lidera o ranking mundial de adoção de pagamentos instantâneos? Dados do BC mostram que, em média, são realizadas mais de 160 mil transações Pix por minuto no país. Esse volume expressivo explica por que criminosos procuram brechas em provedores de conectividade: um único acesso indevido pode movimentar valores bilionários em poucas horas.
Para mais informações e atualizações sobre tecnologia e ciência, consulte também:
Quando você efetua suas compras por meio dos links disponíveis aqui no RN Tecnologia, podemos receber uma comissão de afiliado, sem que isso acarrete nenhum custo adicional para você!
