O dia em que R$ 1 bilhão escapou pela malha do SPB: o que o ataque à C&M Software ensina sobre segurança bancária no Brasil
Como Hackers Desviaram UM BILHÃO
1. Visão-geral
- Alvo: C&M Software, integrações SPB/Pix usadas por ~25 bancos e fintechs.
- Modus operandi: uso de credenciais válidas de seis instituições para emitir ordens de débito direto nas contas-reserva mantidas no Banco Central (BC).
- Montante estimado: de R$ 400 mi a R$ 1 bi – divergência decorre de bloqueios parciais no mesmo dia.(infomoney.com.br, moneytimes.com.br)
- Destino inicial: tentativas de conversão rápida em BTC e USDT via provedores Pix/OTC; parte já congelada.(br.cointelegraph.com)
- Resposta imediata: BC desliga C&M da rede, Polícia Federal abre inquérito; BMP confirma impacto, outras cinco instituições sob sigilo.(infomoney.com.br, poder360.com.br)
2. Quem é a C&M Software (e por que isso importa)
Fundada nos anos 1990 em Belo Horizonte, a C&M virou peça-chave do Bank-as-a-Service (BaaS) brasileiro: fornece WebServices e mensageria ISO 20022 para que bancos “digitais” sem backbone próprio falem com o SPB (Sistema de Pagamentos Brasileiro), Pix, TED, Selic, etc. Na prática, ela é um “hub” concentrando certificados, VPNs e HSMs de dezenas de clientes menores – o que explica o impacto sistêmico do incidente.(moneytimes.com.br)
3. Linha do tempo preliminar
| Data/hora (BRT) | Evento | Fonte |
|---|---|---|
| Seg 1.jul 22h | Spike fora do padrão em mensageria SPB parte de nós da C&M. | (br.cointelegraph.com) |
| Ter 2.jul 00h18 | Exchanges de OTC detectam avalanche de Pix para compra de USDT; bloqueiam parte. | (br.cointelegraph.com) |
| Ter 01h45 | SOC do Banco Central aciona “desconexão emergencial”; sessões TLS da C&M são derrubadas. | (poder360.com.br) |
| Ter 02h–06h | Instituições afetadas (BMP, +5) são notificadas; BC calcula exposição inicial. | (infomoney.com.br) |
| Qua 2.jul 10h32 | MoneyTimes publica que o rombo pode chegar a R$ 1 bi. | (moneytimes.com.br) |
| Qua 11h40 | Polícia Federal confirma abertura de inquérito específico de cibercrime financeiro. | (valor.globo.com) |
4. Anatomia do ataque
- Obtenção de credenciais HSM
- Phishing mirado em administradores de TI de bancos menores, ou vazamento prévio de “logs” com tokens e certificados.
- As mensagens burlaram limite varejo do Pix porque trafegaram direto via SPB (canal interbancário de alta liquidez).(moneytimes.com.br)
- Injeção de ordens de débito
- Formato
pacs.009ISO 20022, instruindo a conta-reserva “Bank A” → “Bank X” (ponte). - Volume fracionado em lotes de R$ 20 mi–50 mi para parecer rotina de liquidez noturna.
- Formato
- Lavagem flash em cripto
- Bancos-ponte liquidez → fintechs Pix/cripto → exchanges/OTC.
- Mesas que usam blockchain analytics recusaram / reverteram; outras ainda rastreiam on-chain.(br.cointelegraph.com)
- Contenção
- “Kill-switch” do BC: revogação de certificados e bloqueio de ASN dedicado da C&M.
- Auditoria forense agora cruza logs HSM vs. sequence numbers SPB para determinar se as chaves foram roubadas ou usadas internamente.(poder360.com.br)
5. Por que o rombo ainda é incerto?
- Estorno automático SPB: durante a janela T+0, mensagens de débito podem ser revertidas se não conciliadas.
- Bloqueios judiciais: fintechs já receberam ofícios para travar saldos; parte ainda em disputa.
- Conversão parcial: USDT em blockchains públicas pode ser freezeado pela Tether se BC solicitar, mas só com prova de crime.(br.cointelegraph.com)
6. Impacto regulatório e de mercado
| Frente | Possível movimento |
|---|---|
| BCB + CMN | Revisar Circulares 3.461 / 4.116 para exigir segregação física entre mensageria crítica e APIs públicas em provedores BaaS. |
| CVM / Bacen Sandbox | Pressão para que fintechs reforcem auditoria de terceiros, semelhante ao SSAE-18 nos EUA. |
| Seguro cibernético | Prêmios devem subir após “maior sinistro da história” do SFN; exclusões para “falha de fornecedores críticos” em debate. |
| Debate Pix x Resiliência | Ataque não quebrou o Pix, mas expôs gargalo single-point-of-failure em hubs privados. Expectativa de redundância múltipla ou direct access obrigatório para bancos >R$ 1 bi em ativos. |
7. Aprendizados práticos para bancos & fintechs
- Rotação de certificados: validade ≤ 90 dias + armazenamento em HSM off-prem com quorum.
- Monitoramento em tempo real: correlação entre logs SPB, SIEM interno e transações de liquidez.
- Playbooks testados: table-top trimestral envolvendo BC, provedores e equipes de cripto-compliance.
- Assessment de terceiros: due-diligence contínua (ISO 27001, PCI DSS, SOC 2) em todos os hubs BaaS.
8. Próximos passos da investigação
- Relatório de incidente do BC (previsto ~15 de julho) detalhará vetor inicial.
- Indiciamento: caso se confirme participação de funcionário, tipificação sob Lei 14.155/2021 (fraude eletrônica qualificada).
- Recuperação de ativos: cooperação Interpol para chain-analysis caso fundos já tenham passado por mixers.
9. Conclusão
O incidente eleva o patamar de risco cibernético no Sistema Financeiro Nacional. Não foi um bug no Pix nem no Banco Central, mas sim uma falha de cadeia de suprimento em tecnologia bancária, explorada com conhecimento interno do fluxo de liquidação. Para quem opera ou investe no ecossistema, a lição é clara: segurança de terceiros é segurança de todos.
Referências
- MoneyTimes, “C&M Software sofre ataque hacker…” (moneytimes.com.br)
- InfoMoney (Reuters), “Ataque contra C&M Software atinge contas-reserva…” (infomoney.com.br)
- Cointelegraph Brasil, “Hackers roubam R$ 1 bilhão…” (br.cointelegraph.com)
- Valor Econômico, “PF vai investigar ataque hacker…” (valor.globo.com)
- Poder360, nota do Banco Central (íntegra) (poder360.com.br)
- UOL/Reuters, “BMP diz que suas contas-reserva no BC foram acessadas…” (economia.uol.com.br)
