A Polícia Civil de São Paulo prendeu, na quinta-feira (3), um funcionário da empresa C&M Software suspeito de participação no ataque cibernético que causou um prejuízo estimado em R$ 1 bilhão a pelo menos oito instituições financeiras. O caso, que está sob investigação do Departamento Estadual de Investigações Criminais (Deic) e da Polícia Federal, é considerado o maior ataque hacker já registrado no país, segundo o Grupo FS, empresa especializada em segurança digital.
A ação criminosa foi deflagrada na madrugada da segunda-feira (30), quando os sistemas da C&M Software, empresa que presta serviços de integração entre bancos e fintechs ao sistema Pix, foram invadidos. De acordo com a polícia, o ataque resultou no desvio de valores que estavam sob custódia de instituições ligadas ao Sistema de Pagamentos Brasileiro (SPB). A infraestrutura do Pix, no entanto, não foi comprometida, e o sistema segue operando normalmente.
Em nota, a C&M Software informou que o incidente foi provocado por táticas de engenharia social, que induziram o compartilhamento indevido de credenciais de acesso, e não por falhas na tecnologia da empresa. “A empresa segue colaborando de forma proativa com as autoridades competentes nas investigações sobre o incidente ocorrido em julho de 2025”, declarou.
O Banco Central (BC) também se manifestou, esclarecendo que não possui qualquer vínculo contratual com a C&M Software, que atua como prestadora de serviços para instituições financeiras. Após o ataque, o serviço da empresa foi desligado na terça-feira (2) e restabelecido parcialmente na quinta (3). O BC condicionou o pleno restabelecimento à anuência das instituições participantes do Pix e à implementação de medidas de reforço na prevenção a fraudes e controle de limites transacionais.
A Polícia Federal, acionada na quarta-feira (2), abriu inquérito para apurar o caso, que segue sob sigilo. A investigação indica que R$ 500 milhões do total desviado pertenciam a uma única cliente da C&M. Até o momento, estima-se que apenas 2% dos valores desviados foram recuperados.
O ataque não afetou grandes bancos como Bradesco e XP, clientes da C&M Software, que afirmaram não terem sido impactados pelo incidente. O funcionamento da empresa está autorizado em dias úteis, das 6h30 às 18h30, sob monitoramento técnico reforçado pelo Banco Central.
As autoridades continuam as investigações para identificar todos os envolvidos e recuperar os valores desviados.