O roubo do século: Hacker leva mais de R$ 1 bilhão em ataque a empresa de software que presta serviços a bancos

O primeiro dia de julho de 2025 entrará para a história como a data do maior assalto já ocorrido no Brasil. Um ataque cibernético a uma empresa de software que presta serviços ao sistema financeiro resultou em um roubo estimado em pelo menos R$ 1 bilhão. A informação foi divulgada em primeira mão pelo Brazil Journal e confirmada na manhã desta quarta-feira (2) pelo Banco Central.

O alvo do ataque hacker foi a C&M Software. Fundada em 1999, a empresa hoje oferece infraestrutura e soluções de software para bancos, cooperativas de crédito, bancos comunitários e outras entidades. 

• VEJA MAIS: Já está no ar o evento “Onde investir no 2º semestre de 2025”, do Seu Dinheiro, com as melhores recomendações de ações, FIIs, BDRs, criptomoedas e renda fixa

O foco da C&M é o desenvolvimento de soluções para operações no ecossistema de pagamentos instantâneos.

De acordo com o jornal, foi por meio de uma vulnerabilidade nos sistemas da C&M que o hacker teria tido acesso a diversas contas de clientes da companhia na tarde de terça-feira (1).

Procurado pelo Seu Dinheiro, o Banco Central informou ter sido notificado sobre a ocorrência do assalto e enfatizou que o alvo do ataque foi uma empresa que presta serviços ao sistema.

“A C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”, informa o BC por meio de nota.

O Seu Dinheiro entrou em contato com a C&M, mas, até o momento da publicação desta matéria, não obteve retorno da empresa.

• Leia também: Exclusivo: Fintech afetada pelo ‘roubo do século’ já recuperou R$ 150 milhões, mas a maior parte do dinheiro roubado ainda está no “limbo”

Quais foram as empresas afetadas pelo “roubo do século”?

O incidente de cibersegurança comprometeu a infraestrutura da C&M e permitiu acesso indevido a contas reserva de seis instituições financeiras, entre elas, a prestadora de serviços de Banking as a Service (BaaS) BMP e a Credsystem.

No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central.

Como contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária, não há qualquer relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP, afirmou a empresa, em nota.

"Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados", disse a BMP.

A instituição afirma que já adotou todas as medidas operacionais e legais cabíveis e "conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais".

Também fundada em 1999, a BMP se autodenomina a “primeira fintech do Brasil” e começou suas operações oferecendo crédito. Hoje, a companhia se destaca principalmente como uma provedora de serviços de Banking as a Service (BaaS). 

Esse modelo de negócios tem conquistado cada vez mais atenção no mercado, pois permite que empresas de diversos setores ofereçam serviços financeiros diretamente aos seus clientes — algo que antes estava restrito a bancos e instituições financeiras tradicionais.

A chave do BaaS está na conexão: ele integra as instituições que já oferecem soluções financeiras, como bancos e fintechs, com empresas de outros segmentos. 

De acordo com o site da BMP, a empresa é atualmente considerada o “maior BaaS do Brasil”, prestando serviços para mais de 80 fintechs, 125 FIDCs e securitizadoras, além de atender 10 varejistas e 12 empresas listadas na bolsa.

Após o ataque cibernético, alguns bancos menores registraram instabilidade em sistemas, incluindo em pagamentos por meio do Pix. No entanto, não se trata de um problema generalizado no sistema.

"Quando a C&M desliga os acessos dos clientes, ela pode provocar alguma estabilidade. Isso certamente causa algum problema para essas instituições de pagamento que usam dos sistemas da fintech", disse uma fonte.

Uma delas foi a Credsystem, empresa especializada em soluções financeiras para o varejo, com foco em serviços de crédito e meios de pagamento para lojistas e clientes.

"O impacto direto nas operações da credsystem se restringe apenas ao serviço de PIX, que está temporariamente fora do ar por determinação do BACEN, porém nossos clientes poderão continuar utilizando normalmente e sem custo o serviço de TED", escreveu a empresa, em nota.

Maior assalto da história do Brasil e um dos maiores do mundo

Diante da confirmação do caso de ataque hacker, o roubo da C&M Software entrará para a história como o maior já ocorrido no Brasil e um dos maiores do mundo — caso a cifra de pelo menos R$ 1 bilhão também se confirme.

Muitos apontam o assalto ao Banco Central em Fortaleza, ocorrido em 2005 como o maior roubo já realizado em território nacional.

Na ocasião, os criminosos levaram R$ 164,7 milhões em dinheiro vivo.

No entanto, o maior roubo já registrado no Brasil ocorreu na madrugada de 28 de agosto de 2011, quando ladrões desligaram os sistemas de alarmes e câmeras de vigilância de uma agência do banco Itaú na Avenida Paulista.

Estima-se que os criminosos tenham levado algo entre R$ 250 milhões e R$ 500 milhões. A ocorrência do crime só foi descoberta mais de uma semana depois. O montante exato do roubo nunca ficou claro.