Análise: roubo de credibilidade

Diego Escosteguy
Publicada em 03/07/2025 às 00:49
A BMP, de Carlos Benitez, não respondeu como foi possível uma vulnerabilidade na C&M permitir um acesso indevido dessa magnitude Foto: Divulgação

Depois da madrugada em que hackers atravessaram a porta de serviço do sistema bancário e roubaram, em minutos, milhões de reais das contas reserva de pelo menos seis instituições, o silêncio dos envolvidos ecoa mais alto que o alarme do ataque. Não sabemos – porque ninguém diz – quanto dinheiro sumiu, para onde foi, qual falha abriu o cofre nem quantas chaves‑mestras ainda estão rodando por aí. Para um mercado que vive de confiança, saber que houve o pior ataque digital já registrado no Brasil, em gravidade e valores, mas não saber nada além desse fato, causa um ruído perturbador.

Os fatos confirmados cabem em poucas linhas. Credenciais pertencentes a clientes da C&M Software foram usadas para acessar as contas reserva que essas instituições mantêm no Banco Central. O desvio deu‑se fora do ambiente de varejo, diretamente na camada de liquidação interbancária. Seis entidades foram atingidas; entre elas, a BMP, uma das principais do setor de “Banking as a Service”, ou BaaS. 

A C&M admite ter sofrido uso indevido de credenciais, declara‑se vítima e afirma que seus “sistemas críticos seguem íntegros”. Não informa quando o intruso entrou, por quanto tempo permaneceu nem qual módulo foi comprometido. A empresa também não divulga se o incidente envolveu falhas de autenticação, supervisão ou segmentação interna.

A BMP confirma que recursos saíram de sua conta reserva, garante ter colateral suficiente e insiste que contas de clientes finais não foram tocadas. Falta explicar como movimentos de valor elevado não dispararam controles internos nem alertas externos exigidos por normas de prevenção a fraudes e lavagem.

O Banco Central reagiu mandando desconectar toda a infraestrutura da C&M. A medida isolou o provedor, mas deixou os mercados sem dados sobre a extensão das perdas nem sobre a lista completa de afetados. A autoridade monetária sustenta que o sistema permanece sólido, mas não apresenta estimativa de impacto patrimonial para cada instituição.

A Polícia Federal instaurou inquérito na quarta‑feira, tipificando o caso como furto qualificado por meio eletrônico. Até agora, não divulgou indicativos de autoria, rota de lavagem em criptoativos ou cooperação internacional. Tampouco houve publicação de laudo forense preliminar que ajude a entender vetor, privilégio obtido pelo atacante e trajetória dos recursos.

Sem um número oficial, o mercado trabalha com projeções que variam de centenas de milhões a bilhões de reais. A amplitude dessas cifras alimenta volatilidade e fragiliza a capacidade de avaliação de risco. Investidores, reguladores secundários e correntistas ficam obrigados a operar sob suposições, algo incompatível com a transparência esperada de infraestrutura crítica de pagamentos.

O caso expõe a centralização de risco em provedores de “banking as a service”. Quando a conexão ao Sistema de Pagamentos Brasileiro é terceirizada, a superfície de ataque passa a incluir empresas que não são, nem de longe, supervisionadas com o mesmo rigor dos bancos que atendem. Isso concentra vulnerabilidade em pontos pouco regulados e de importância sistêmica crescente.

Também fica claro que faltam camadas independentes de monitoramento nas contas reserva. Transferências atípicas de grande valor deveriam ser bloqueadas ou, ao menos, gerar alertas automáticos no momento da liquidação. A ausência de travas sugere falhas simultâneas de tecnologia, processo e governança.

No Banco Central, circula a ideia de apertar regras de segurança para intermediários tecnológicos: testes de intrusão conduzidos por firmas externas, autenticação forte multicliente e segregação lógica obrigatória. As medidas encarecerão a operação das fintechs conectadas via terceiros, mas são o preço inevitável para restaurar confiança. Até que os envolvidos publiquem números, laudos e cronogramas de remediação, a credibilidade do sistema continuará ancorada mais em expectativa do que em evidência. É um roubo de credibilidade.

Exclusivo

O cozinheiro do roubo

04/07/2025 às 19:34

Atual dono de fintech investigada pela Polícia Civil nunca teve relação com instituições financeiras

Leia Mais
Exclusivo

Uma dezena de fintechs suspeitas

04/07/2025 às 18:27

Polícia identifica novas intermediárias por onde passou dinheiro do maior roubo ao sistema bancário

Leia Mais

Moraes suspende decretos de Lula e do Congresso sobre imposto e convoca conciliação para o dia 15

Leia Mais
Exclusivo

Uma fintech suspeita

03/07/2025 às 23:57

Polícia rastreia 270 milhões de reais do roubo aos bancos a contas na Soffy Soluções de Pagamento

Leia Mais
Exclusivo

O roubo de 3 bilhões de reais

03/07/2025 às 23:46

Polícia Civil estima que invasão hacker a bancos resultou no maior assalto já registrado no país

Leia Mais
Exclusivo

O hacker caiu

03/07/2025 às 23:33

Polícia Civil de São Paulo prende autor do roubo bilionário às contas reservas do Banco Central

Leia Mais
Exclusivo

A ofensiva petista nas redes

03/07/2025 às 18:46

Partido coloca no ar campanha com o mote pobres x ricos para expor o Congresso e a direita

Leia Mais

Governo propõe ressarcir aposentados roubados se puder fazer isso com dinheiro de fora do orçamento

Leia Mais

Empresa de telefonia pede nova blindagem contra credores para duas subsidiárias

Leia Mais

Juízes contestam Fernando Haddad sobre responsabilidade pelo aumento dos gastos com o programa

Leia Mais

Pesquisa mostra ceticismo de deputados com anistia e reprovação à estratégia de Bolsonaro

Leia Mais
Exclusivo

Ataque ao sistema financeiro

01/07/2025 às 23:06

PF investiga roubo digital sem precedentes por meio de invasão a empresas centrais do setor bancário

Leia Mais

Durou uma semana

01/07/2025 às 21:59

TRF1 suspende decisão que determinava a paralisação de exploração de madeira no Amapá

Leia Mais

TCDF manda notificar Secretaria da Educação por baixa qualidade da comida nas escolas

Leia Mais

IOF no Supremo

01/07/2025 às 13:00

AGU anuncia que Lula resolveu recorrer da decisão do Congresso de derrubar aumento de imposto

Leia Mais