Caso expõe vulnerabilidades no sistema financeiro e mobiliza PF, Banco Central e fintechs
Um dos maiores crimes digitais da história do Brasil mobilizou autoridades, bancos e o próprio Banco Central nos últimos dias. Hackers invadiram o sistema de uma empresa terceirizada responsável pela comunicação entre instituições financeiras e o BC, desviaram centenas de milhões de reais e acenderam um alerta vermelho sobre a segurança do sistema financeiro nacional. A seguir, explicamos ponto a ponto tudo o que se sabe até agora sobre o chamado “roubo do século”.
Como o golpe aconteceu?
O ataque ocorreu no início da noite da última segunda-feira (1º), quando criminosos acessaram ilegalmente o sistema da C&M Software, uma empresa privada que atua como ponte entre bancos e o Sistema de Pagamentos Brasileiro (SPB), do Banco Central. A invasão permitiu que eles manipulassem diretamente contas de reservas bancárias, que funcionam como “cofres” digitais usados pelas instituições para movimentações interbancárias e operações com o BC.
Segundo apurações iniciais, o grupo usou credenciais válidas de acesso ao sistema da C&M para simular operações legítimas. A ação durou poucos minutos e, nesse tempo, os criminosos conseguiram desviar valores que podem ultrapassar R$ 1 bilhão, embora o total exato ainda esteja em apuração.
O que é a C&M Software e por que ela foi o alvo?
A C&M é uma empresa especializada na integração de sistemas bancários com o Banco Central. Ela não movimenta dinheiro por conta própria, mas presta serviços para que bancos e fintechs acessem plataformas como o SPB e o Sistema de Liquidação Bruta em Tempo Real (LBTR). Ou seja: ela é um elo essencial da engrenagem.
Esse tipo de ataque, chamado de “ataque à cadeia de suprimentos”, mira prestadoras de serviço com menos proteção do que o sistema principal — neste caso, o BC. Uma vez dentro do sistema da C&M, os hackers conseguiram operar como se fossem os próprios bancos.
Qual foi o prejuízo?
Ainda não há consenso sobre o valor exato. A estimativa inicial é de que ao menos R$ 400 milhões foram desviados, mas algumas fontes indicam que o montante pode ter ultrapassado R$ 1 bilhão, dependendo do número de instituições afetadas e da quantidade de transações realizadas antes do bloqueio do sistema.
Parte do dinheiro foi recuperada ou bloqueada a tempo, graças a uma ação coordenada entre a C&M, o Banco Central e as instituições atingidas. Mas os detalhes ainda estão sendo mantidos em sigilo.
Como o dinheiro foi escoado?
Depois de invadir o sistema e fazer as transferências, os hackers fragmentaram os valores em pequenas partes, espalharam as quantias entre contas de laranjas e converteram o dinheiro em criptomoedas, dificultando o rastreio. O padrão segue um roteiro clássico de lavagem de ativos no ambiente digital.
As investigações apuram a conexão dos hackers com exchanges internacionais, e há indícios de uso de moedas com alto grau de anonimato, como a Monero (XMR).
Quem está investigando?
A Polícia Federal já abriu inquérito criminal para apurar o ataque e trabalha em conjunto com o Banco Central e com a Autoridade Nacional de Proteção de Dados (ANPD). Técnicos da C&M também prestam apoio às investigações, e bancos envolvidos estão revisando internamente suas comunicações com prestadores de serviço.
O Banco Central reforçou que não houve qualquer falha ou violação nos seus próprios sistemas, mas admitiu que o episódio levanta “questões relevantes sobre a segurança da cadeia de conectividade bancária”.
O que muda daqui pra frente?
A expectativa é de que o caso leve a uma revisão completa das exigências de segurança digital para prestadoras de serviço financeiro. O BC já sinalizou que deve endurecer as regras de certificação de empresas terceirizadas e pode exigir protocolos mais rígidos de autenticação e criptografia nas conexões entre bancos e o SPB.
Além disso, o episódio deve acelerar discussões sobre a necessidade de seguros cibernéticos obrigatórios para fintechs e instituições menores.
O Pix está em risco?
Apesar do susto, não houve impacto direto no sistema do Pix. O ataque não foi feito por dentro do Pix, mas sim por fora — através da infraestrutura da C&M, que dava acesso às contas de reservas dos bancos. Mesmo assim, especialistas alertam que o episódio pode afetar a confiança no sistema de pagamentos como um todo, especialmente se os valores não forem recuperados.
Já houve casos parecidos?
Não nesta escala. O episódio é comparado ao assalto físico ao Banco Central de Fortaleza em 2005 — mas agora no ambiente digital. Casos pontuais de invasão a fintechs já ocorreram no passado, mas nenhuma com a sofisticação e o impacto sistêmico observado neste caso.
O que falta esclarecer?
Ainda há várias perguntas em aberto, como: Qual foi o real valor desviado? Quantos bancos e fintechs foram afetados? Quem são os responsáveis? Estariam ligados ao crime organizado? Quanto do valor já foi recuperado ou rastreado? Que medidas o Banco Central adotará para evitar novos ataques? E o que fica de lição?
O roubo expôs um dos pontos mais frágeis do sistema financeiro: os intermediários tecnológicos. Mesmo que os grandes bancos e o Banco Central invistam pesado em segurança, basta uma brecha em uma prestadora menor para comprometer bilhões de reais.
Fique por dentro das notícias políticas também no instagram. Clique aqui!
