O maior assalto da história do Brasil aconteceu longe de cofres, armas ou máscaras: foi virtual. No dia 1º de julho de 2025, um hacker invadiu os sistemas da C&M Software, empresa de tecnologia que presta serviços para instituições financeiras, e conseguiu desviar mais de R$ 1 bilhão. O caso foi confirmado nesta quarta-feira (2) pelo Banco Central.
A C&M, fundada em 1999, é responsável por fornecer infraestrutura para pagamentos instantâneos, conectando bancos, fintechs, cooperativas de crédito e até bancos comunitários. O ataque explorou uma falha de segurança nos sistemas da empresa, permitindo ao invasor acessar contas reservas mantidas por diferentes instituições no Banco Central.
Entre as atingidas estão a BMP, gigante do modelo Banking as a Service (BaaS), e a Credsystem. A BMP afirmou que o ataque foi restrito à sua conta reserva no BC e não afetou os clientes finais. Em nota, garantiu que tem recursos para cobrir totalmente os valores desviados, sem impacto para a operação ou para seus parceiros comerciais.
A dimensão do roubo faz o episódio superar casos históricos como o assalto ao Banco Central em Fortaleza (2005), quando foram levados R$ 164,7 milhões em dinheiro, e o roubo cinematográfico ao Itaú da Paulista (2011), com perdas estimadas entre R$ 250 e R$ 500 milhões.
O Banco Central, ao ser informado do ataque, determinou o desligamento do acesso da C&M aos sistemas que ela operava. A instituição reforçou que a empresa afetada presta serviços a entidades que não têm conexão direta com o sistema financeiro oficial, mas que o impacto foi suficiente para comprometer movimentações de grande porte.
Até o momento, a C&M não se pronunciou oficialmente. Já a BMP destacou que segue como o maior BaaS do país, com uma rede de mais de 80 fintechs, 125 FIDCs, 10 grandes varejistas e 12 companhias da bolsa entre os clientes.
Esse ataque bilionário coloca o Brasil no mapa dos maiores crimes cibernéticos do mundo, escancarando os riscos da dependência digital do sistema financeiro e a urgência em reforçar a segurança de empresas que operam na retaguarda dos bancos.
A investigação segue em sigilo e promete mobilizar autoridades, bancos e especialistas em cibersegurança por muito tempo.