A fintech BMP, cliente da C&M Software, conseguiu reaver cerca de R$ 150 milhões de um total de R$ 400 milhões perdidos no que foi descrito como o maior roubo da história do Brasil, estimado em mais de R$ 1 bilhão. O ataque cibernético à infraestrutura da C&M Software, ocorrido na última quarta-feira (1º), afetou diversas instituições financeiras, deixando um rombo significativo nas contas da BMP, com R$ 250 milhões ainda em paradeiro incerto.
A recuperação parcial dos valores foi possível graças ao Mecanismo Especial de Devolução (MED) do Banco Central (BC), ferramenta criada para auxiliar vítimas de fraudes envolvendo o Pix, permitindo o estorno de transações. Apesar disso, a maior parte do dinheiro roubado foi rapidamente convertida em criptomoedas, dificultando a rastreabilidade e a recuperação dos R$ 250 milhões restantes.
O incidente hacker atingiu diretamente a infraestrutura da C&M Software, resultando no acesso indevido a contas de reserva de seis instituições financeiras, incluindo a BMP. Em nota, o diretor comercial da C&M Software se declarou “vítima direta da ação criminosa” e explicou que a invasão envolveu o uso fraudulento de credenciais de clientes para tentar acessar os sistemas da empresa. A C&M reforçou que seus sistemas críticos permanecem íntegros e operacionais, e que as medidas de segurança foram totalmente executadas.
Aos clientes impactados, a C&M Software informou sobre uma infecção em um certificado interno, sem detalhar a vulnerabilidade. É relevante destacar que grandes bancos não foram afetados pelo ataque. No entanto, algumas instituições menores que utilizam os sistemas da C&M registraram instabilidade, especialmente em pagamentos via Pix, como foi o caso da Credsystem, que direcionou seus clientes para o uso de TED.
Impacto e Perspectivas da BMP
A BMP esclareceu que o roubo se restringiu exclusivamente aos recursos alocados em sua conta de reserva no Banco Central. Isso significa que, embora o capital da companhia tenha sido diretamente afetado, os clientes não sofreram danos, pois as contas de reserva são destinadas apenas à liquidação interbancária e não se relacionam com as contas dos clientes finais.
A fintech já tomou as medidas legais cabíveis, registrando boletins de ocorrência junto à Polícia Federal e à Polícia Civil, além de iniciar ações judiciais para investigar o caso e buscar a recuperação dos valores. Fundada em 1999, a BMP se posiciona como o maior Banking as a Service (BaaS) do Brasil, fornecendo soluções bancárias para que outras empresas ofereçam serviços financeiros. Atualmente, a BMP atende a mais de 80 fintechs e 12 companhias listadas em bolsa, incluindo nomes como Itaú Unibanco (ITUB4), Magazine Luiza (MGLU3) e Mercado Livre (MELI34).
Apesar do prejuízo significativo, a BMP mantém uma perspectiva de estabilidade financeira. Fontes próximas à investigação indicam que a empresa possui colaterais suficientes para cobrir integralmente o valor impactado, garantindo a continuidade de sua operação e a segurança de seus parceiros comerciais. A questão sobre quem arcará com o prejuízo final ainda está em aberto e em investigação.
