Análise: roubo de credibilidade

Diego Escosteguy
Publicada em 03/07/2025 às 00:49
A BMP, de Carlos Benitez, não respondeu como foi possível uma vulnerabilidade na C&M permitir um acesso indevido dessa magnitude Foto: Divulgação

Depois da madrugada em que hackers atravessaram a porta de serviço do sistema bancário e roubaram, em minutos, milhões de reais das contas reserva de pelo menos seis instituições, o silêncio dos envolvidos ecoa mais alto que o alarme do ataque. Não sabemos – porque ninguém diz – quanto dinheiro sumiu, para onde foi, qual falha abriu o cofre nem quantas chaves‑mestras ainda estão rodando por aí. Para um mercado que vive de confiança, saber que houve o pior ataque digital já registrado no Brasil, em gravidade e valores, mas não saber nada além desse fato, causa um ruído perturbador.

Os fatos confirmados cabem em poucas linhas. Credenciais pertencentes a clientes da C&M Software foram usadas para acessar as contas reserva que essas instituições mantêm no Banco Central. O desvio deu‑se fora do ambiente de varejo, diretamente na camada de liquidação interbancária. Seis entidades foram atingidas; entre elas, a BMP, uma das principais do setor de “Banking as a Service”, ou BaaS. 

A C&M admite ter sofrido uso indevido de credenciais, declara‑se vítima e afirma que seus “sistemas críticos seguem íntegros”. Não informa quando o intruso entrou, por quanto tempo permaneceu nem qual módulo foi comprometido. A empresa também não divulga se o incidente envolveu falhas de autenticação, supervisão ou segmentação interna.

A BMP confirma que recursos saíram de sua conta reserva, garante ter colateral suficiente e insiste que contas de clientes finais não foram tocadas. Falta explicar como movimentos de valor elevado não dispararam controles internos nem alertas externos exigidos por normas de prevenção a fraudes e lavagem.

O Banco Central reagiu mandando desconectar toda a infraestrutura da C&M. A medida isolou o provedor, mas deixou os mercados sem dados sobre a extensão das perdas nem sobre a lista completa de afetados. A autoridade monetária sustenta que o sistema permanece sólido, mas não apresenta estimativa de impacto patrimonial para cada instituição.

A Polícia Federal instaurou inquérito na quarta‑feira, tipificando o caso como furto qualificado por meio eletrônico. Até agora, não divulgou indicativos de autoria, rota de lavagem em criptoativos ou cooperação internacional. Tampouco houve publicação de laudo forense preliminar que ajude a entender vetor, privilégio obtido pelo atacante e trajetória dos recursos.

Sem um número oficial, o mercado trabalha com projeções que variam de centenas de milhões a bilhões de reais. A amplitude dessas cifras alimenta volatilidade e fragiliza a capacidade de avaliação de risco. Investidores, reguladores secundários e correntistas ficam obrigados a operar sob suposições, algo incompatível com a transparência esperada de infraestrutura crítica de pagamentos.

O caso expõe a centralização de risco em provedores de “banking as a service”. Quando a conexão ao Sistema de Pagamentos Brasileiro é terceirizada, a superfície de ataque passa a incluir empresas que não são, nem de longe, supervisionadas com o mesmo rigor dos bancos que atendem. Isso concentra vulnerabilidade em pontos pouco regulados e de importância sistêmica crescente.

Também fica claro que faltam camadas independentes de monitoramento nas contas reserva. Transferências atípicas de grande valor deveriam ser bloqueadas ou, ao menos, gerar alertas automáticos no momento da liquidação. A ausência de travas sugere falhas simultâneas de tecnologia, processo e governança.

No Banco Central, circula a ideia de apertar regras de segurança para intermediários tecnológicos: testes de intrusão conduzidos por firmas externas, autenticação forte multicliente e segregação lógica obrigatória. As medidas encarecerão a operação das fintechs conectadas via terceiros, mas são o preço inevitável para restaurar confiança. Até que os envolvidos publiquem números, laudos e cronogramas de remediação, a credibilidade do sistema continuará ancorada mais em expectativa do que em evidência. É um roubo de credibilidade.

TCDF manda notificar Secretaria da Educação por baixa qualidade da comida nas escolas

Leia Mais

IOF no Supremo

01/07/2025 às 13:00

AGU anuncia que Lula resolveu recorrer da decisão do Congresso de derrubar aumento de imposto

Leia Mais

Aneel permitiu que Enel reajuste tarifa em 13,47%, apesar de falhas no fornecimento no ano passado

Leia Mais
Exclusivo

Viagem secreta sob suspeita

01/07/2025 às 10:00

PF investiga ida de dois delegados federais da "PF paralela" para São Paulo após a eleição de 2022

Leia Mais

Delegados da investigação da Polícia Federal sobre roubo de aposentados são deslocados

Leia Mais

Pediu para sair

30/06/2025 às 13:00

PF concede aposentadoria a Alessandro Moretti, delegado indiciado no inquérito da 'Abin paralela'

Leia Mais

Desaparecimento de árbitro em meio à disputa entre Guaçu e Areva reverte resultado de julgamento

Leia Mais

Ministro anula investigação porque dados financeiros foram pedidos pelo MP diretamente ao órgão

Leia Mais

Doleiro Alberto Youssef pede que Toffoli anule as condenações impostas por Sergio Moro na Lava Jato

Leia Mais
Exclusivo

Laranjas no Pará

30/06/2025 às 10:00

PF descobre saques e transações suspeitas em empresas de marido de Elcione Barbalho

Leia Mais

Alcolumbre e Motta desistem de ir a audiência no Supremo que criticou distribuição de verbas

Leia Mais

Tribunal de Contas de PE paralisa processo em que a Ambipar ganhou direito a explorar coleta na ilha

Leia Mais

Gonet propõe que privilégios só sejam pagos ao Ministério Público após decisão judicial

Leia Mais

Prefeito na cadeia

27/06/2025 às 11:24

Eduardo Siqueira, de Palmas, é preso em investigação sobre vazamento de informações do STJ

Leia Mais

Felix na Overclean

27/06/2025 às 10:12

PF faz operação contra deputado e assessor por fraude com emendas em prefeituras do PT na Bahia

Leia Mais