Análise: roubo de credibilidade
Depois da madrugada em que hackers atravessaram a porta de serviço do sistema bancário e roubaram, em minutos, milhões de reais das contas reserva de pelo menos seis instituições, o silêncio dos envolvidos ecoa mais alto que o alarme do ataque. Não sabemos – porque ninguém diz – quanto dinheiro sumiu, para onde foi, qual falha abriu o cofre nem quantas chaves‑mestras ainda estão rodando por aí. Para um mercado que vive de confiança, saber que houve o pior ataque digital já registrado no Brasil, em gravidade e valores, mas não saber nada além desse fato, causa um ruído perturbador.
Os fatos confirmados cabem em poucas linhas. Credenciais pertencentes a clientes da C&M Software foram usadas para acessar as contas reserva que essas instituições mantêm no Banco Central. O desvio deu‑se fora do ambiente de varejo, diretamente na camada de liquidação interbancária. Seis entidades foram atingidas; entre elas, a BMP, uma das principais do setor de “Banking as a Service”, ou BaaS.
A C&M admite ter sofrido uso indevido de credenciais, declara‑se vítima e afirma que seus “sistemas críticos seguem íntegros”. Não informa quando o intruso entrou, por quanto tempo permaneceu nem qual módulo foi comprometido. A empresa também não divulga se o incidente envolveu falhas de autenticação, supervisão ou segmentação interna.
A BMP confirma que recursos saíram de sua conta reserva, garante ter colateral suficiente e insiste que contas de clientes finais não foram tocadas. Falta explicar como movimentos de valor elevado não dispararam controles internos nem alertas externos exigidos por normas de prevenção a fraudes e lavagem.
O Banco Central reagiu mandando desconectar toda a infraestrutura da C&M. A medida isolou o provedor, mas deixou os mercados sem dados sobre a extensão das perdas nem sobre a lista completa de afetados. A autoridade monetária sustenta que o sistema permanece sólido, mas não apresenta estimativa de impacto patrimonial para cada instituição.
A Polícia Federal instaurou inquérito na quarta‑feira, tipificando o caso como furto qualificado por meio eletrônico. Até agora, não divulgou indicativos de autoria, rota de lavagem em criptoativos ou cooperação internacional. Tampouco houve publicação de laudo forense preliminar que ajude a entender vetor, privilégio obtido pelo atacante e trajetória dos recursos.
Sem um número oficial, o mercado trabalha com projeções que variam de centenas de milhões a bilhões de reais. A amplitude dessas cifras alimenta volatilidade e fragiliza a capacidade de avaliação de risco. Investidores, reguladores secundários e correntistas ficam obrigados a operar sob suposições, algo incompatível com a transparência esperada de infraestrutura crítica de pagamentos.
O caso expõe a centralização de risco em provedores de “banking as a service”. Quando a conexão ao Sistema de Pagamentos Brasileiro é terceirizada, a superfície de ataque passa a incluir empresas que não são, nem de longe, supervisionadas com o mesmo rigor dos bancos que atendem. Isso concentra vulnerabilidade em pontos pouco regulados e de importância sistêmica crescente.
Também fica claro que faltam camadas independentes de monitoramento nas contas reserva. Transferências atípicas de grande valor deveriam ser bloqueadas ou, ao menos, gerar alertas automáticos no momento da liquidação. A ausência de travas sugere falhas simultâneas de tecnologia, processo e governança.
No Banco Central, circula a ideia de apertar regras de segurança para intermediários tecnológicos: testes de intrusão conduzidos por firmas externas, autenticação forte multicliente e segregação lógica obrigatória. As medidas encarecerão a operação das fintechs conectadas via terceiros, mas são o preço inevitável para restaurar confiança. Até que os envolvidos publiquem números, laudos e cronogramas de remediação, a credibilidade do sistema continuará ancorada mais em expectativa do que em evidência. É um roubo de credibilidade.
O cozinheiro do roubo
Atual dono de fintech investigada pela Polícia Civil nunca teve relação com instituições financeiras
Leia MaisUma dezena de fintechs suspeitas
Polícia identifica novas intermediárias por onde passou dinheiro do maior roubo ao sistema bancário
Leia MaisMoraes suspende decretos de Lula e do Congresso sobre imposto e convoca conciliação para o dia 15
Leia MaisUma fintech suspeita
Polícia rastreia 270 milhões de reais do roubo aos bancos a contas na Soffy Soluções de Pagamento
Leia MaisO roubo de 3 bilhões de reais
Polícia Civil estima que invasão hacker a bancos resultou no maior assalto já registrado no país
Leia MaisO hacker caiu
Polícia Civil de São Paulo prende autor do roubo bilionário às contas reservas do Banco Central
Leia MaisA ofensiva petista nas redes
Partido coloca no ar campanha com o mote pobres x ricos para expor o Congresso e a direita
Leia MaisGoverno propõe ressarcir aposentados roubados se puder fazer isso com dinheiro de fora do orçamento
Leia MaisEmpresa de telefonia pede nova blindagem contra credores para duas subsidiárias
Leia MaisJuízes contestam Fernando Haddad sobre responsabilidade pelo aumento dos gastos com o programa
Leia MaisPesquisa mostra ceticismo de deputados com anistia e reprovação à estratégia de Bolsonaro
Leia MaisAtaque ao sistema financeiro
PF investiga roubo digital sem precedentes por meio de invasão a empresas centrais do setor bancário
Leia MaisTRF1 suspende decisão que determinava a paralisação de exploração de madeira no Amapá
Leia MaisTCDF manda notificar Secretaria da Educação por baixa qualidade da comida nas escolas
Leia MaisAGU anuncia que Lula resolveu recorrer da decisão do Congresso de derrubar aumento de imposto
Leia Mais