🔎 O que aconteceu?

Na madrugada do dia 2 de julho de 2025, uma ação hacker desviou cerca de R$ 800 milhões — podendo chegar a quase R$ 1 bilhão — do sistema financeiro. O alvo foi a C&M Software, responsável por interligar 22 instituições financeiras ao sistema do Banco Central, especificamente à plataforma do Pix.

O ataque comprometeu as chamadas contas de reserva bancária — usadas para liquidação entre instituições —, e não contas de pessoas físicas. Ainda assim, a conexão de várias instituições foi temporariamente suspensa.

💻 Como o ataque foi realizado?

Segundo apurações, os criminosos utilizaram credenciais reais de clientes da C&M Software e realizaram transações via Pix para contas de terceiros (“laranjas”). O sistema do Banco Central não foi violado, mas a integração com a C&M foi comprometida.

Especialistas classificam o ataque como “sofisticado”, utilizando falhas na camada de autenticação e comunicação da empresa com o Banco Central.

🔐 O que o Banco Central fez?

Ao ser informado, o BC desligou imediatamente a C&M Software do sistema e iniciou bloqueios com base no Mecanismo Especial de Devolução (MED), ferramenta criada em 2021 para permitir reversões de transações fraudulentas via Pix.

Até agora, estima-se que cerca de R$ 400 milhões foram recuperados, mas o restante foi rapidamente redirecionado para criptomoedas e contas com difícil rastreabilidade.

⚠️ Quais as falhas reveladas?

• Prestadoras de serviços como a C&M não tinham supervisão direta como os bancos.
• As autorizações de transações eram feitas sem múltiplas camadas de segurança.
• O MED ainda é limitado frente a fraudes extremamente rápidas.

🛡️ O que muda agora?

O Banco Central anunciou que revisará a regulação sobre empresas intermediadoras como a C&M. O MED também será ampliado para permitir rastreamento de transações em cadeia, mesmo após repasses múltiplos.

A expectativa é de que os bancos reforcem seus protocolos de autenticação e monitoração para operações via Pix de valores elevados.

📱 Como se proteger?

Apesar do ataque não atingir diretamente contas de usuários, é importante:

1. Ativar autenticação em dois fatores nos aplicativos bancários.
2. Monitorar extratos com frequência.
3. Reduzir limites do Pix se não forem usados com frequência.
4. Desconfiar de qualquer comunicação não solicitada de “suporte bancário”.

📌 Conclusão

O maior ataque hacker já registrado ao sistema Pix expôs falhas nas integrações de terceiros e revelou a necessidade urgente de aprimoramento na governança e segurança digital. O Banco Central promete mudanças, mas o episódio mostra que até sistemas bem avaliados como o Pix ainda têm brechas críticas.