O recente ciberataque à empresa C&M Software, especializada em desenvolver tecnologias voltadas ao sistema de pagamentos instantâneos, gerou grande preocupação entre instituições financeiras. O episódio evidenciou fragilidades no ecossistema do Sistema Financeiro Nacional, demonstrando o risco de violações digitais de proporções alarmantes.

Foto: Reprodução/Metrópoles

Maior ataque hacker do país pode ter desviado até R$ 3 bilhões

Responsável por operar a mensageria que conecta bancos e instituições ao Sistema de Pagamentos Brasileiro (SPB), a C&M integra o funcionamento do Pix — método criado pelo Banco Central em 2020, amplamente adotado no Brasil. Estimativas iniciais apontam que o valor movimentado ilegalmente pelos hackers pode variar entre R$ 1 bilhão e R$ 3 bilhões, embora também existam relatos mencionando desvios de R$ 400 milhões a R$ 800 milhões.

Segundo especialistas consultados pelo Metrópoles, o incidente demonstrou que, mesmo com avanços tecnológicos recentes, o sistema financeiro ainda está vulnerável. “O ataque expõe falhas graves na governança tecnológica e na cadeia de confiança do sistema financeiro nacional. Ainda que o Banco Central não tenha sido diretamente invadido, a responsabilidade solidária e a falta de diligência na supervisão de terceiros devem ser debatidas à luz da Lei Geral de Proteção de Dados Pessoais [LGPD] e das boas práticas regulatórias”, afirma Matheus Puppe, advogado especializado em Direito Digital. Ele ressalta que mesmo o uso de criptoativos como Bitcoin e USDT pode ser rastreado com suporte jurídico e ferramentas forenses. “Esse caso reforça que segurança cibernética, proteção de dados e compliance digital são pilares estratégicos e não mais opcionais para instituições públicas e privadas.”

Fred Amaral, CEO da startup Lerian, destacou a necessidade de um modelo mais robusto de controle e monitoramento. “A arquitetura fragmentada de transações em tempo real – com criptomoedas, stablecoins e operações cross-border – exige mais que boas práticas de autenticação”. Ele sugere a integração de inteligência artificial e machine learning aos mecanismos de proteção. “O Banco Central, como ‘ledger’ centralizado, deve unir força normativa e tecnologia para mitigar riscos. O core das instituições precisa garantir integridade e rastreabilidade nativa. Sem isso, a inovação vira um castelo de cartas”, declarou. “O Pix prova nossa capacidade, mas também nossa responsabilidade. Esse incidente é a chance de evoluir, não retroceder.”

Theo Brazil, diretor de segurança da informação da empresa Asper, destacou que a vulnerabilidade veio de um prestador de serviços, não diretamente dos bancos. “Os problemas de segurança não ocorreram nas instituições financeiras, mas em um fornecedor, um terceiro que não tinha necessariamente a mesma maturidade que o banco, mas contava com acesso privilegiado”, afirmou. Ele usou uma analogia para explicar a situação: “Imagine que sua casa é extremamente segura, mas você entrega uma chave ao jardineiro, cuja empresa não tem um controle rigoroso. Se essa chave for mal gerida, toda a proteção da sua casa será em vão.”

O tipo de golpe aplicado é conhecido como “Supply Chain” — ou seja, um ataque à cadeia de suprimentos, em que criminosos acessam o sistema de uma empresa terceirizada para atingir os alvos reais: os clientes. Especialistas acreditam que o acesso dos invasores ao ambiente da C&M Software pode ter ocorrido meses antes do ataque se concretizar.