A Polícia Federal (PF) abriu nesta quarta-feira (2) um inquérito para investigar um ataque hacker a sistemas de instituições financeiras que tiveram as contas invadidas por meio da C&M Software — empresa que presta serviços tecnológicos e conecta instituições financeiras ao Banco Central (BC).
A informação foi confirmada à GloboNews pelo diretor-geral da PF, Andrei Rodrigues.
O BC informou mais cedo nesta quarta que a C&M Software comunicou um ataque à sua infraestrutura e que determinou o desligamento do acesso das instituições às infraestruturas operadas pela empresa.
🔎 A C&M, alvo do ataque, é uma empresa que presta serviços de tecnologia da informação (TI) para instituições participantes do PIX. Ela é homologada pelo BC para essa função, assim como outras oito empresas no país.
Acesso a sistemas do BC
Em nota, o diretor comercial da C&M Software, Kamal Zogheib, afirmou que a empresa foi vítima direta de uma ação criminosa, que envolveu o uso indevido de credenciais de clientes para tentar acessar seus sistemas e serviços de forma fraudulenta.
"A CMSW confirma que colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Polícia Civil de São Paulo, nas investigações em andamento", disse.
Zogheib acrescentou que a empresa não comentará detalhes do processo por orientação jurídica e em respeito ao sigilo das investigações, mas reforçou que todos os sistemas críticos da companhia permanecem “íntegros e operacionais” e destacou que todas as medidas previstas nos protocolos de segurança foram “integralmente executadas”.
Uma das empresas afetadas, a BMP, que fornece infraestrutura para plataformas bancárias digitais, o incidente envolvendo a C&M permitiu o acesso indevido a contas de reserva de pelo menos seis instituições financeiras. O BC não informou quais instituições foram afetadas.
🔎 As contas reserva são mantidas diretamente no BC e utilizadas exclusivamente para liquidação interbancária — processo pelo qual instituições financeiras realizam transferências de recursos entre si.
Dessa forma, segundo a BMP, o ataque não teve relação com as contas de clientes finais nem com os saldos mantidos dentro da instituição.
“Reforçamos que nenhum cliente BMP foi impactado ou teve seus recursos acessados”, afirmou em nota oficial, destacando que o incidente envolveu exclusivamente recursos depositados em sua conta de reserva no BC.
“A instituição já adotou todas as medidas operacionais e legais cabíveis, e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou aos seus parceiros comerciais”, informou a BMP em nota, reiterando que continua a operar normalmente.
Veja as notas sobre o caso, na íntegra
Banco Central do Brasil (BC)
A C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas.
CMSW (C&M Software)
A CMSW [C&M Software] confirma que colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Polícia Civil de SP, nas investigações em andamento.
A empresa é vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços.
Por orientação jurídica e em respeito ao sigilo das apurações, a CMSW não comentará detalhes do processo, mas reforça que todos os seus sistemas críticos seguem íntegros e operacionais, e que as medidas previstas nos protocolos de segurança foram integralmente executadas.
Grato
Diretor Comercial da CMSW
BMP
NOTA OFICIAL — INCIDENTE DE SEGURANÇA NA INFRAESTRUTURA DA C&M SOFTWARE
A BMP informa que, nesta segunda-feira, foi identificada uma ocorrência de segurança envolvendo a C&M Software — empresa autorizada e supervisionada pelo Banco Central do Brasil, responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix.
O incidente de cibersegurança comprometeu a infraestrutura da C&M e permitiu acesso indevido a contas reserva de seis instituições financeiras, entre elas a BMP. As contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária — sem qualquer relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP.
Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados.
No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou aos seus parceiros comerciais.
A C&M Software foi imediatamente desconectada do ambiente do Banco Central, e as autoridades competentes, incluindo o próprio BC, já estão conduzindo uma investigação detalhada sobre o ocorrido.
A BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações.
Para mais informações, nossa equipe de comunicação institucional está à disposição.
São Paulo, 2 de julho de 2025
BMP
G1
