A C&M Software voltou a operar suas plataformas do PIX na manhã desta quinta-feira (3), após ter sido alvo de um ataque cibernético que desviou milhões de reais mantidos por instituições financeiras em contas reservas do Banco Central (BC). O retorno das atividades ocorreu em regime de produção controlada, depois que a empresa apresentou ao BC provas de que reforçou a proteção contra novas invasões.
A autorização parcial foi concedida pelo BC um dia após a determinação inicial, em caráter cautelar, para suspensão integral dos serviços. O órgão regulador informou que a retomada das operações ocorrerá em dias úteis, das 6h30 às 18h30, com a condição de anuência explícita das instituições participantes do sistema de pagamentos instantâneos e com “robustecimento do monitoramento de fraudes e dos limites transacionais”.
Em nota oficial, a C&M reafirmou que foi vítima de “uma ação criminosa” e que colabora desde o primeiro momento com as autoridades. “Confiamos plenamente na isenção das investigações quanto à origem do incidente, mesmo diante de ilações ou tentativas externas de antecipar julgamentos”, declarou a empresa. Segundo o comunicado, todas as medidas de segurança previstas foram aplicadas, incluindo auditorias independentes, reforço de controles internos e comunicação direta com os clientes afetados.
Na quarta-feira (2), a companhia já havia garantido que seus sistemas críticos permaneciam “íntegros e operacionais”, apesar do ataque.
Invasão com credenciais vazadas
O ataque hacker à infraestrutura da C&M aconteceu na terça-feira (1º), quando criminosos exploraram credenciais de clientes vazadas — como logins e senhas — para acessar os sistemas da companhia. A invasão foi detectada e reportada pela própria empresa ao Banco Central, que imediatamente ordenou a suspensão do acesso das instituições financeiras à plataforma da C&M.
A C&M é especializada no desenvolvimento de soluções tecnológicas para o ecossistema de pagamentos instantâneos, administrando a troca de informações entre instituições financeiras no Sistema de Pagamentos Brasileiro (SPB). Embora o SPB abranja o ambiente do PIX, até agora não há indícios de desvio de recursos diretamente dessa modalidade.
As contas reservas acessadas ilegalmente são contas mantidas por bancos e instituições financeiras no Banco Central, com depósitos exigidos por lei para garantir a solidez do sistema financeiro.
As investigações sobre a fraude continuam sob responsabilidade das autoridades competentes. Até o momento, o BC não informou o valor exato dos prejuízos.
