Análise: roubo de credibilidade

Depois da madrugada em que hackers atravessaram a porta de serviço do sistema bancário e roubaram, em minutos, milhões de reais das contas reserva de pelo menos seis instituições, o silêncio dos envolvidos ecoa mais alto que o alarme do ataque. Não sabemos – porque ninguém diz – quanto dinheiro sumiu, para onde foi, qual falha abriu o cofre nem quantas chaves‑mestras ainda estão rodando por aí. Para um mercado que vive de confiança, saber que houve o pior ataque digital já registrado no Brasil, em gravidade e valores, mas não saber nada além desse fato, causa um ruído perturbador.

Os fatos confirmados cabem em poucas linhas. Credenciais pertencentes a clientes da C&M Software foram usadas para acessar as contas reserva que essas instituições mantêm no Banco Central. O desvio deu‑se fora do ambiente de varejo, diretamente na camada de liquidação interbancária. Seis entidades foram atingidas; entre elas, a BMP, uma das principais do setor de “Banking as a Service”, ou BaaS. 

A C&M admite ter sofrido uso indevido de credenciais, declara‑se vítima e afirma que seus “sistemas críticos seguem íntegros”. Não informa quando o intruso entrou, por quanto tempo permaneceu nem qual módulo foi comprometido. A empresa também não divulga se o incidente envolveu falhas de autenticação, supervisão ou segmentação interna.

A BMP confirma que recursos saíram de sua conta reserva, garante ter colateral suficiente e insiste que contas de clientes finais não foram tocadas. Falta explicar como movimentos de valor elevado não dispararam controles internos nem alertas externos exigidos por normas de prevenção a fraudes e lavagem.

O Banco Central reagiu mandando desconectar toda a infraestrutura da C&M. A medida isolou o provedor, mas deixou os mercados sem dados sobre a extensão das perdas nem sobre a lista completa de afetados. A autoridade monetária sustenta que o sistema permanece sólido, mas não apresenta estimativa de impacto patrimonial para cada instituição.

A Polícia Federal instaurou inquérito na quarta‑feira, tipificando o caso como furto qualificado por meio eletrônico. Até agora, não divulgou indicativos de autoria, rota de lavagem em criptoativos ou cooperação internacional. Tampouco houve publicação de laudo forense preliminar que ajude a entender vetor, privilégio obtido pelo atacante e trajetória dos recursos.

Sem um número oficial, o mercado trabalha com projeções que variam de centenas de milhões a bilhões de reais. A amplitude dessas cifras alimenta volatilidade e fragiliza a capacidade de avaliação de risco. Investidores, reguladores secundários e correntistas ficam obrigados a operar sob suposições, algo incompatível com a transparência esperada de infraestrutura crítica de pagamentos.

O caso expõe a centralização de risco em provedores de “banking as a service”. Quando a conexão ao Sistema de Pagamentos Brasileiro é terceirizada, a superfície de ataque passa a incluir empresas que não são, nem de longe, supervisionadas com o mesmo rigor dos bancos que atendem. Isso concentra vulnerabilidade em pontos pouco regulados e de importância sistêmica crescente.

Também fica claro que faltam camadas independentes de monitoramento nas contas reserva. Transferências atípicas de grande valor deveriam ser bloqueadas ou, ao menos, gerar alertas automáticos no momento da liquidação. A ausência de travas sugere falhas simultâneas de tecnologia, processo e governança.

No Banco Central, circula a ideia de apertar regras de segurança para intermediários tecnológicos: testes de intrusão conduzidos por firmas externas, autenticação forte multicliente e segregação lógica obrigatória. As medidas encarecerão a operação das fintechs conectadas via terceiros, mas são o preço inevitável para restaurar confiança. Até que os envolvidos publiquem números, laudos e cronogramas de remediação, a credibilidade do sistema continuará ancorada mais em expectativa do que em evidência. É um roubo de credibilidade.