Ataque hacker ao sistema financeiro: BMP confirma prejuízo de R$ 541 milhões; Polícia investiga ação criminosa em outras instituições

A Polícia Civil de São Paulo confirmou nesta sexta-feira (4) que a BMP, uma das instituições financeiras afetadas por um sofisticado ataque cibernético, sofreu um prejuízo de R$ 541 milhões. A cifra é parte de um golpe mais amplo, ainda em investigação, que teria atingido ao menos outras cinco instituições com acessos indevidos às suas contas de reserva junto ao Banco Central.

Essas contas, mantidas por instituições financeiras no BC, funcionam como contas correntes e são essenciais para garantir liquidez, além de viabilizar transações com o próprio Banco Central, como aplicações em títulos públicos, empréstimos e depósitos compulsórios. O volume total movimentado diariamente nesses canais, no entanto, não é divulgado oficialmente.

O caso veio à tona após a BMP registrar um boletim de ocorrência na última segunda-feira (30), relatando transferências fraudulentas via PIX. Com base nas informações fornecidas, o Departamento Estadual de Investigações Criminais (DEIC), por meio da 2ª Delegacia de Crimes Cibernéticos, identificou um funcionário da empresa C&M Software como o responsável por permitir o acesso dos hackers ao sistema.

Segundo os investigadores, o colaborador teria compartilhado sua máquina com os criminosos, o que facilitou a invasão dos sistemas da C&M — empresa especializada em soluções tecnológicas para o mercado financeiro e responsável por interligar instituições ao Banco Central, incluindo a BMP.

Um suspeito foi preso nesta semana em São Paulo, mas a polícia afirma que as investigações seguem em andamento para identificar outros envolvidos. Em nota, a BMP declarou que foi informada da prisão e que "acompanha de perto os desdobramentos do caso", reforçando que nenhum cliente teve recursos acessados. A empresa ainda assegura dispor de "capital colateral" suficiente — exigência regulatória do BC — para manter suas operações e proteger o sistema financeiro de eventuais efeitos sistêmicos.

O papel da BMP e o modelo BaaS

A BMP atua como provedora de soluções bancárias e tecnológicas para outras empresas, sem operar com o público pessoa física. Seu modelo de negócio é baseado no conceito de Banking as a Service (BaaS), no qual empresas não financeiras podem oferecer serviços bancários aos clientes usando a infraestrutura da BMP. Além disso, a instituição atua também no mercado de crédito.

Impacto e medidas adotadas

A estimativa preliminar da Polícia Civil e da Secretaria de Segurança Pública de São Paulo aponta que o prejuízo total causado pelo ataque pode superar R$ 800 milhões. O número exato ainda está sendo apurado, conforme mais instituições afetadas são identificadas.

A C&M Software, em nota oficial, declarou que segue colaborando "de forma proativa" com as autoridades e reiterou que o incidente não decorreu de falhas em sua tecnologia, mas sim de uma ação de engenharia social — quando um funcionário é manipulado para fornecer dados sensíveis. “Nossa infraestrutura segue plenamente operacional e em conformidade com todos os padrões de segurança”, informou a empresa.

A polícia agora trabalha para rastrear a cadeia completa de envolvidos na operação criminosa e recuperar os valores desviados. Enquanto isso, o Banco Central e os demais órgãos reguladores acompanham de perto a apuração, em busca de respostas e medidas que evitem novos ataques desse tipo ao sistema financeiro.