Home > Blog > O Caso C&M Software: O Roubo de R$ 541 Milhões das Contas de Reserva de Bancos Brasileiros

O Caso C&M Software: O Roubo de R$ 541 Milhões das Contas de Reserva de Bancos Brasileiros

10.07.2025

Voltar

No último dia de junho de 2025, o Brasil foi abalado por um dos maiores casos de fraude financeira de sua história: o desvio de R$ 541 milhões das contas reservas de vários bancos e fintechs brasileiros.

O esquema, considerado sofisticado e ousado, foi executado em várias etapas incluindo:

  • engenharia social,
  • corrupção de funcionários de uma empresa terceirizada,
  • ação de agentes internos,
  • violação de direitos de acesso,
  • vazamento de dados,
  • ataque supply‑chain (cadeia de suprimentos),
  • empresas especialmente criadas para a recepção do dinheiro desviado.

Tal como num filme de Robin Wood, os cibercriminosos desviaram dinheiro apenas das contas das instituições financeiras brasileiras, as chamadas contas reservas, uma exigência legal para garantir a liquidez do sistema bancário nacional, sem que se tenha notícias de desvio de dinheiro de contas de pessoas físicas, nem de vazamento de dados pessoais dos clientes das instituições financeiras afetadas.

O Que Aconteceu?

A quadrilha responsável pelo maior ataque cracker já registrado no Brasil, após acessar uma conta mantida pelo banco BMP no Banco Central do Brasil, enviou R$ 541 milhões desviados dessa empresa para 29 diferentes instituições financeiras em mais de 100 transferências via PIX.

A fraude foi descoberta após investigações do Banco Central e da Polícia Federal, que identificaram movimentações suspeitas em contas reservas das instituições financeiras entre 04:30 e 07:00h do dia 30/06/2025. Os criminosos utilizaram brechas em sistemas de backoffice de bancos, manipulando transferências para desviar recursos sem que as instituições percebessem imediatamente.

A C&M Software, uma empresa de tecnologia que presta serviços a bancos, foi apontada como peça central do esquema. Investigadores acreditam que funcionários da empresa e/ou crackers associados a eles conseguiram acessar sistemas internos dos bancos e realizar transferências ilegais. Até o momento apenas José Nazareno Roque, que trabalha na C&M Software desde 2022 foi preso.

Roque teria recebido R$15.000,00 (cerca de US$2.700,00) no total para ceder suas credenciais aos cibercriminosos e desenvolver um sistema interno que facilitasse o acesso às contas. Segundo os investigadores Roque teria mantido contato com ao menos 4 pessoas diferentes, sendo que Roque admite ter se encontrado pessoalmente com uma delas em um bar no bairro de Pirituba, São Paulo.

A empresa Monexa Gateway de Pagamentos aberta no dia 11 de junho, 19 dias antes do ataque cracker, recebeu R$ 45 milhões em transferências pix de um dos bancos alvo da ação dos cibercriminosos. Foram realizadas 5 transferências, quatro no valor de R$ 10 milhões e uma de R$ 5 milhões, por meio da fintech Nuoro Pay, suspensa do sistema de pagamentos PIX imediatamente após os desvios. Além da Monexa outras quatros empresas (Nuvora Gateway de Pagamentos, Pay Gateway de Pagame, Altrix Gateway de Pagame e Veltro Gateway de Pagamentos) foram abertas no mesmo dia em nome de Lavinia Lorraine Ferreira dos Santos. Todas na cidade de São José dos Pinhais, no Paraná.

Como o Golpe Funcionou?

1. Acesso Privilegiado: Os criminosos exploraram credenciais de acesso da C&M Software, que tinha permissão para operar em sistemas bancários.

2. Manipulação de Dados: Foram alterados registros de transferências, desviando valores das contas reservas (que garantem a liquidez dos bancos) para contas fantasmas.

3. Lavagem de Dinheiro: O dinheiro foi distribuído em várias contas e posteriormente movimentado por meio de criptomoedas e investimentos em ativos de difícil rastreio.

Consequências

  • O BMP foi o principal afetado: suas contas de liquidação no BC foram acessadas, sem prejuízo a correntistas finais, segundo as investigações em curso no momento.
  • Outras cinco instituições foram afetadas, entre elas Bradesco, Credsystem e Banco Paulista, todas utilizam os serviços da C&M.
  • O Banco Central ordenou o desligamento imediato da C&M da conexão com o SPB (Sistema de Pagamentos Brasileiro), suspendeu a participação de envolvidos no Pix por até 60 dias.
  • Prejuízo Financeiro: Os bancos afetados terão que cobrir o rombo, impactando seus balanços.
  • Estimativas iniciais sugerem que o montante total possa ter ultrapassado R$ 800 milhões, podendo chegar a R$ 1 bilhão, considerando outros clientes da C&M.
  • Uma parte do dinheiro desviado foi rastreada e estornada usando o sistema de devolução Med/Pix.
  • Por decisão judicial, cerca de R$ 270 milhões permanecem bloqueados em uma conta ligada à fintech Soffy.
  • Investigação e Prisões: A Polícia Federal prendeu suspeitos ligados à C&M Software e a outros intermediários do esquema.
  • Falta de Segurança: O caso levantou críticas sobre a fiscalização de empresas terceirizadas com acesso a sistemas bancários sensíveis.

Lições do Caso

O caso C&M Software evidenciou a necessidade de:

  • Maior controle sobre terceirizados com acesso a sistemas financeiros.
  • Reforço de auditorias em prestadores críticos e mapeamento de todos os pontos de acesso.
  • Implantação de autenticação multifator reforçada e segregação de tarefas entre funcionários e sistemas.
  • Simulações de ataque e exercícios de resposta para equipes de segurança cibernética.
  • Revisão contratual: credenciais de terceiros devem ter sigilo rígido, rotinas de troca e monitoramento constante.
  • Evitar riscos de ataques supply‑chain: ataques direcionados a prestadores de serviços críticos, que podem comprometer múltiplos clientes simultaneamente.
  • Controle de acesso e treinamento constante em segurança da informação para evitar acesso indevido a dados sigilosos via credenciais de funcionários terceirizados, obtidas através de engenharia social e/ou falhas humanas.
  • Monitoramento em tempo real de transações suspeitas.
  • Monitoramento continuo das atividades dos funcionários de todas as empresas da cadeia produtiva do SPB (Sistema de Pagamentos Brasileiro).
  • Adoção obrigatória de sistemas de classificação de Dados do tipo DCAP.
  • Adoção obrigatória de sistemas contra vazamentos de dados e de monitoramento de canais de comunicação do tipo DLP.
  • Reforço na cibersegurança dos bancos e de todas as empresas envolvidas na cadeia produtiva do SPB (Sistema de Pagamentos Brasileiro), principalmente contra as ameaças internas, para evitar brechas de segurança e vazamento de dados.

Situação atual

  • Em 3 de julho, após adoção de medidas de segurança a C&M foi autorizada a retomar suas operações sob fiscalização, ainda com ambiente de “produção controlada” sob supervisão do Banco Central.
  • As investigações prosseguem: novos mandados de busca, bloqueios e eventual responsabilização criminal ou cível de C&M poderão surgir no decorrer do processo.

Conclusão

O roubo de R$ 541 milhões (aproximadamente US$ 100 milhões) das contas de reserva de bancos brasileiros marcou um dos maiores golpes da história financeira do país. Enquanto as investigações continuam, o caso serve como alerta para a vulnerabilidade de uma das principais cadeias produtivas, o sistema bancário, a ataques internos e a importância de medidas rigorosas de segurança cibernética.

O episódio mostra também a necessidade de monitoramento das informações em poder das empresas e das organizações estatais e da sociedade civil. Além de estar em conformidade com a legislação de proteção de dados, a adoção de sistemas de gerenciamento de riscos do tipo DCAP e DLP ajudam a proteger contra ameaças internas, que, como este caso nos mostra, são a origem de muitos ataques externos.

Ataques como o incidente da C&M discutido acima são particularmente difíceis de detectar devido ao envolvimento do elemento humano. Os criminosos usam funcionários de empresas terceirizadas ou prestadores de serviços para obter acesso não autorizado aos sistemas internos e contornar as medidas de segurança.

Para evitar esses incidentes, recomendamos explorar soluções avançadas de segurança da informação, como o sistema DLP de última geração Risk Monitor. Ele combina a proteção contra vazamento de dados com a mitigação abrangente de riscos humanos, fornecendo proteção de 360 graus contra ameaças internas, incluindo erros acidentais, ações maliciosas e várias formas de fraude corporativa. Os recursos baseados em inteligência artificial do Risk Monitor aumentam a segurança e oferecem proteção abrangente dos dados corporativos.

Start your free 30-day trial now!


 

Inscreva-se aqui para receber notícias, artigos e white papers.
© 2025 SearchInform LTD
All rights reserved.
Usamos cookies em nosso site para tornar nosso serviço mais eficiente e melhorar a sua experiência de usuário. Ao continuar a usar o nosso site, você concorda com a nossa política de cookies.
OK
POLÍTICAS DE USO DE COOKIES