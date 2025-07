Um ataque hacker contra o sistema da empresa de software C&M, que conectava instituições financeiras e Banco Central em pagamentos em tempo real, expôs vulnerabilidades de um modelo de negócio que opera nas sombras do sistema financeiro: os chamados "bancos invisíveis". O caso envolveu o BMP, que se apresenta como "o banco por trás do boom das fintechs".

O Deic (Departamento Estadual de Investigações Criminais) prendeu nesta sexta-feira, após a gravação do podcast, um dos suspeitos pelo ataque.



A invasão se deu através da C&M Software, empresa de tecnologia com 25 anos de existência, credenciada pelo Banco Central brasileiro e pelo Federal Reserve americano. "É uma empresa muito bem reputada", ressalta Toledo. Os hackers utilizaram credenciais roubadas para fazer milhares de operações, transferindo dinheiro de uma conta nesse banco "invisível" para outras contas que a organização criminosa tinha controle.



O prejuízo está estimado em centenas de milhões de reais, valor com o qual o BMP afirma ter arcado, sem repassar aos clientes. A reação do Banco Central foi desligar temporariamente o sistema da C&M Software, o que deixou o Pix de diversas fintechs fora do ar.



Para entender como isso foi possível, é preciso compreender o funcionamento das fintechs no Brasil. "O cliente acha que tem uma conta, que é uma conta dele, mas o que ele vê ali no seu aplicativo, no celular, é só o que se chama de uma conta de fachada", explica Toledo. Na realidade, o dinheiro está misturado com o de todos os outros clientes em uma conta única, seja em nome da fintech ou do banco.

Essa estrutura cria um problema grave para a fiscalização. "Se a Justiça manda bloquear a conta do Toledo nessa fintech, não dá para bloquear, porque não existe a conta do Toledo", exemplifica o jornalista. Para as autoridades, não há registro público de que determinada conta pertence a um cliente específico, o que facilita operações de lavagem de dinheiro.