Ataque hacker a prestadora do BC gera rombo de R$ 400 milhões na BMP

247 - Um dos maiores ataques cibernéticos já registrados contra a infraestrutura do sistema financeiro nacional veio à tona nesta semana, após a BMP — uma empresa de bank as a service que atende fintechs, fundos, varejistas e indústrias — confirmar que foi uma das afetadas pelo ataque hacker à C&M Software. A C&M é uma das poucas companhias autorizadas a atuar como Provedora de Serviços de Tecnologia da Informação (PSTI), responsável por intermediar mensagens entre instituições financeiras e o Banco Central (BC) para operações via Pix, TED e boletos. As informações foram divulgadas pelo Brazil Journal e aprofundadas em entrevista exclusiva do CEO da BMP, Carlos Benitez, ao NeoFeed.

Na madrugada de segunda-feira, 30 de junho, hackers exploraram brechas nos sistemas da C&M e conseguiram acionar indevidamente contas de liquidação mantidas por instituições no BC. A BMP foi uma das mais afetadas, com prejuízo estimado em R$ 400 milhões — dos quais cerca de R$ 160 milhões já foram recuperados. “Tivemos uma perda grande, de R$ 400 milhões. A gente recuperou até agora R$ 160 milhões”, disse Benitez.

O executivo explicou que o ataque se valeu de diferentes técnicas, como phishing, roubo de credenciais e possível duplicação de certificados digitais, permitindo autorizações fraudulentas para saques. As transações, segundo ele, partiram da C&M diretamente ao BC, sem que houvesse visibilidade imediata por parte da BMP.

“Houve um ataque na C&M que comunicou ao Banco Central transações atípicas, em grandes volumes, grandes valores, que fez a conta-reserva ser desconectada”, relatou.

Proteção dos clientes - Benitez afirma que a gravidade do prejuízo não foi ainda maior graças à política conservadora da própria BMP: manter capital próprio nas contas de liquidação. “Apesar da minha licença não ser bancária, a minha atividade é. Então eu mantenho o meu patrimônio dentro da instituição financeira e protejo os meus clientes”, explicou. “Se eu não tivesse esse dinheiro no BC, as perdas seriam dos clientes.”

Diagnóstico e reação - A suspeita inicial, segundo Benitez, surgiu quando um colaborador de plantão foi avisado por outro banco sobre uma transferência suspeita de R$ 18 milhões. Ao checar os sistemas da BMP, não encontrou anormalidades — o ataque se deu exclusivamente na camada da prestadora C&M, que intermedia a comunicação com o BC.

“Durante grande parte do dia pensamos se tratar de uma instabilidade técnica. Para nós, a estrutura estava totalmente conservada: sistema, contas, valores… Só o Pix não estava operando.”

A confirmação de que o caixa no Banco Central havia sido zerado veio apenas ao fim do dia. O ataque teria atingido ainda outras instituições — entre elas, Credsystem e Banco Paulista também confirmaram prejuízos.

Risco sistêmico e resposta do mercado - Segundo Benitez, o episódio revela uma nova camada de vulnerabilidade no sistema financeiro: os provedores de serviços terceirizados que fazem a ponte entre as instituições e o Banco Central.

“A princípio, me parece que foi a primeira vez que um crime desses aconteceu, de um ataque que não é na instituição financeira, e sim em um prestador de serviço do Banco Central.”

Apesar do rombo, o executivo relata que a BMP não apenas manteve todos os clientes, como viu seu volume sob custódia aumentar — chegando a R$ 2,8 bilhões. Ele também recebeu apoio de grandes bancos, como Itaú, Bradesco e BTG Pactual. “A BMP teve uma resposta do mercado de simpatia e apoio pelo nosso posicionamento prudente, conservando o capital dos clientes”, afirmou.

Expectativas e novas exigências - Para Benitez, o episódio deve acelerar mudanças no setor, incluindo testes de estresse mais rígidos, maior parametrização de segurança e reforço nas regras de compliance. “Se tivesse acontecido na BMP, eu teria bloqueado aproximadamente 92% das transações. Elas não teriam saído”, disse, ao destacar os próprios filtros e sistemas internos como fator de contenção de fraudes.