Criminosos exploraram uma brecha na mensageria do Sistema de Pagamentos Brasileiro (SPB) para movimentar mais de R$ 1 bilhão, direcionando os recursos para plataformas de criptomoedas.

O episódio, que mobilizou o Banco Central - Bacen e a Polícia Federal, já é tratado como o maior ataque hacker da história do sistema financeiro nacional.

A revelação veio à tona em 1º de julho de 2025, pelo Brazil Journal, que apontou o envolvimento de seis instituições financeiras, entre elas BMP, Credsystem e Bradesco, sendo que, este último, afirmou não ter sido afetado, no roubo de valores armazenados em contas de reserva vinculadas ao Banco Central.

O ataque teve origem na C&M Software, empresa autorizada e fiscalizada pelo BC, responsável por fornecer APIs e webservices para instituições acessarem, de forma automatizada, sistemas como Pix, TED e DDA. A C&M atua como ponte entre bancos, fintechs e outros agentes do mercado financeiro.

A resposta da C&M Software

Em nota, a C&M afirmou estar colaborando com as investigações conduzidas pela Polícia Civil de São Paulo e pelo próprio Bacen. A empresa se declarou vítima direta da ação, que envolveu o uso indevido de credenciais de clientes em tentativas de acesso não autorizado aos seus sistemas.

“Em respeito ao sigilo das apurações, não divulgaremos detalhes. Mas reforçamos que todos os sistemas críticos seguem íntegros e operacionais, com todos os protocolos de segurança devidamente acionados”, disse a empresa.

O Banco Central confirmou o ataque e determinou o desligamento da infraestrutura da C&M, sem informar oficialmente os valores envolvidos. A instituição destacou que, embora os recursos estivessem ligados a contas de reserva, essas contas não chegaram a ser acessadas diretamente.

Criminosos tentaram lavar o dinheiro por meio de criptomoedas

Segundo informações apuradas pelo Cointelegraph, os hackers tentaram converter os valores roubados em criptoativos, utilizando plataformas que operam com Pix, como exchanges, sistemas de swap e mesas OTC. O objetivo era adquirir principalmente USDT (Tether) e Bitcoin.

Em um dos casos, um provedor de criptomoedas percebeu movimentações atípicas e bloqueou as operações, notificando imediatamente a BMP, uma das instituições mais atingidas.

No entanto, em outras plataformas, parte dos recursos chegou a ser processada.

Fontes indicam que, observando os endereços e volumes de transações, é possível rastrear o caminho percorrido pelos valores desviados.

Ainda de acordo com especialistas do setor, parte das quantias foi bloqueada em instituições bancárias e diversas mesas OTC recusaram cadastro e operações suspeitas associadas aos invasores.

Atuação preventiva de empresas do setor

Rocelo Lopes, CEO da SmartPay e criador da carteira de autocustódia Truther, informou ao Cointelegraph Brasil que identificou uma movimentação incomum em suas plataformas às 00h18 do dia 30 de junho de 2025. A partir disso, aumentou automaticamente os filtros de validação para compra de USDT e Bitcoin.

Segundo Lopes, valores significativos foram retidos e imediatamente devolvidos às instituições envolvidas. Ele preferiu não divulgar os montantes, mas afirmou estar à disposição das autoridades para auxiliar nas investigações.

“Com as ferramentas que adquirimos, os processos que estruturamos e o conhecimento profundo do mercado e da tecnologia blockchain, temos condições de contribuir de forma eficaz nesse tipo de incidente”, disse.

Até o momento, não há confirmação oficial sobre o total efetivamente convertido em criptoativos ou retido a tempo.

O maior ciberataque da história do sistema financeiro brasileiro

Fontes da investigação conduzida pela Polícia Federal já classificam o episódio como o maior ataque hacker da história do setor financeiro no país.

A BMP, uma das instituições mais atingidas, esclareceu que os recursos envolvidos estavam exclusivamente na conta de reserva usada para liquidação interbancária junto ao BC, sem qualquer relação com contas de clientes ou saldos internos da empresa.

“Reafirmamos que nenhum cliente da BMP foi impactado. O incidente atingiu apenas a conta de reserva no BC. A instituição possui colaterais suficientes para cobrir integralmente o valor afetado, e segue operando normalmente, com total segurança e transparência”, destacou a nota.

Um alerta sobre segurança digital e responsabilidade em cadeia

Esse tipo de ataque evidencia uma realidade preocupante: grandes instituições podem ser invadidas a partir de fragilidades em pequenos ou médios operadores terceirizados, que muitas vezes não contam com estruturas de segurança à altura dos riscos do ambiente digital.

Portanto, não basta que sua empresa esteja adequada à Lei Geral de Proteção de Dados (LGPD). É fundamental garantir que toda a cadeia de prestadores de serviço também siga padrões rígidos de segurança e conformidade.

Se criminosos conseguiram se infiltrar em sistemas que têm conexão com o Banco Central, imagine o risco que correm as empresas menores — inclusive os seus clientes.

É responsabilidade do Contador orientar e alertar seus clientes sobre a importância da adequação à LGPD, aliada à implementação de medidas robustas de segurança física, administrativa e tecnológica. A proteção de dados não é mais opcional, é uma exigência estratégica e jurídica.