Na madrugada de domingo 29/06/2025 para segunda-feira 30/06/2025, um PIX de R$ 18 milhões foi transferido sem autorização. O alvo: a C&M Software, empresa homologada pelo Banco Central e responsável por conectar instituições financeiras à infraestrutura do PIX.

A invasão permitiu o acesso indevido a contas de reserva de seis instituições financeiras. A Polícia Federal já abriu inquérito, e o Banco Central determinou o desligamento da empresa do sistema.

Se até um prestador de serviços credenciado pelo BC foi comprometido, qual o nível de risco que a sua empresa corre hoje?

Por que esse ataque também afeta pequenos e médios empresários

Mesmo que sua empresa não esteja ligada diretamente ao PIX, o modelo de terceirização tecnológica é o mesmo. A C&M Software operava com credenciais privilegiadas — e é justamente isso que aumenta o risco: confiar demais em fornecedores sem controle efetivo.

Além disso:

• A LGPD responsabiliza quem coleta, armazena ou compartilha dados pessoais — mesmo que o vazamento venha de terceiros;

• Sistemas bancários, ERPs, CRMs e softwares de gestão muitas vezes são portas abertas, se não forem auditados;

• Pequenas empresas também armazenam dados sensíveis, como CPFs, informações bancárias e contratos. Ou seja, também podem ser responsabilizadas em caso de falha.

  
  

Lições práticas sobre vulnerabilidade digital

Esse ataque serve de alerta — mas também traz aprendizados práticos que sua empresa pode aplicar agora:

1. Controle de acessos e credenciais

Revisar quem tem acesso aos seus sistemas, plataformas bancárias e contas corporativas é o primeiro passo.
Quem pode acessar o quê? Com que nível de permissão? De onde?

2. Autenticação forte (2FA)

Adotar autenticação de dois fatores é obrigatório.
E mais: monitore acessos fora do horário comercial — eles são os preferidos dos atacantes.

3. Educação contra engenharia social

Sua equipe precisa ser treinada para reconhecer tentativas de manipulação digital — como e-mails falsos ou telefonemas suspeitos que pedem dados ou autorizações.

4. Exija segurança de seus fornecedores

Inclua cláusulas contratuais que obriguem transparência em incidentes, controle de acesso e responsabilidade por vazamentos.

5. Tenha um plano de resposta a incidentes

Se acontecer, você precisa saber quem acionar, o que comunicar e como mitigar danos — com base nas exigências da LGPD e das autoridades competentes.

A LGPD é clara sobre isso:

• Art. 6º, VII e VIII: exige medidas técnicas e administrativas eficazes de segurança;

• Art. 42: responsabiliza o controlador por danos causados, inclusive por falhas de terceiros;

• Falhas por fornecedores não auditados não eximem sua empresa de responsabilidade.

  
  

A Legaliz é especialista em proteção de dados e adequação à LGPD. Atuamos diretamente com empresas que dependem de tecnologia de terceiros — como plataformas de pagamento, ERPs, CRMs, BaaS e sistemas financeiros.

Oferecemos:

• Diagnóstico gratuito para mapear vulnerabilidades técnicas e jurídicas

• Revisão de contratos com fornecedores

• Treinamento de equipes sobre riscos e prevenção digital

• Planos completos de resposta a incidentes e conformidade com a LGPD

Sua empresa sabe quem está logada nas suas contas agora?

Fale com a Legaliz antes que seja tarde.