Hacker explorou falha em empresa terceirizada e desviou R$ 1 bilhão via Pix em minutos

Um ataque hacker de grande escala explorou uma brecha na empresa terceirizada C&M Software, que conecta bancos menores e fintechs ao Sistema de Pagamentos Brasileiro (SPB), permitindo o desvio de cerca de R$ 800 milhões a R$ 1 bilhão via Pix em poucos minutos. O ataque não comprometeu os sistemas centrais do Banco Central, mas utilizou credenciais legítimas da C&M para movimentar valores por meio de “contas reserva” usadas para liquidação interbancária, sem afetar diretamente as contas de clientes finais.

O Banco Central reagiu rapidamente, desconectando 22 instituições do sistema Pix para conter o impacto sistêmico, ação considerada acertada por especialistas. A Polícia Federal está investigando o caso, buscando identificar os autores e rastrear o caminho do dinheiro desviado.

Especialistas destacam que o ataque se aproveitou de falhas básicas na gestão de credenciais e identidade, além da negligência na custódia de chaves criptográficas que permitem assinar transações no Banco Central. O incidente expõe a vulnerabilidade do ecossistema financeiro diante da crescente diversidade de participantes, como fintechs, que muitas vezes terceirizam seu acesso ao SPB para intermediários menos maduros em governança e segurança.

O episódio reforça a necessidade de fortalecer padrões mínimos de segurança, ampliar a regulação para prestadores de serviço e implementar controles rigorosos como autenticação multifatorial e cofres digitais para chaves criptográficas. A velocidade das transações via Pix, que permite transferências em até dez segundos, também representa um desafio para a detecção e resposta a fraudes sofisticadas que usam credenciais legítimas para criar cadeias rápidas de transações difíceis de rastrear.

O ataque foi um golpe sofisticado pela engenharia social e exploração de processos, não por vulnerabilidades técnicas inéditas, e representa um alerta para o amadurecimento da segurança no sistema financeiro brasileiro.