O ataque cibernético que desviou esta semana mais de R$ 1 bilhão de contas de reserva de instituições financeiras junto ao Banco Central acende um alerta sistêmico sobre a arquitetura tecnológica que sustenta o sistema financeiro brasileiro. A avaliação é de Paula Yara, Chief Information Security Officer (CISO) do Grupo Ivy, holding nacional especializada em consultoria em Soluções Tecnológicas. Para a executiva, o caso representa “um ponto de inflexão para a segurança digital no setor bancário”.
A C&M Software foi a empresa alvo do ataque cibernético ocorrido na terça-feira (2). A empresa fornece infraestrutura crítica de mensageria e integração (APIs) entre bancos, fintechs e o Sistema de Pagamentos Brasileiro (SPB). Uma vez autenticados, os invasores teriam acessado a plataforma de Banking-as-a-Service da BMP, principal provedora do país, e executado ordens de transferência a partir de contas de reserva mantidas junto ao Banco Central. O ataque afetou ao menos seis instituições. Algumas tiveram seus acessos ao Pix interrompidos, mas não há confirmação de que foram afetadas.
A empresa informou nesta quinta-feira, que obteve autorização do Banco Central para retomar os seus serviços. As operações do Pix serão restabelecidas em um “regime de produção controlada”, disse a empresa, por meio de nota.
Em nota, o Banco Central confirmou a retomada parcial das operações da C&M Software. A autarquia explicou que a suspensão cautelar da prestadora de serviços foi substituída por uma suspensão parcial, após medidas para mitigar a chance de ocorrência de novos incidentes. “As operações da C&M poderão ser restabelecidas em dias úteis, das 6h30 às 18h30, desde que haja anuência expressa da instituição participante do Pix e o robustecimento do monitoramento de fraudes e limites transacionais”, informa a nota do BC.
“A falha não foi de software. Não há registros de exploração de código, CVEs ou vulnerabilidades técnicas públicas. O ataque mais provável ocorreu via uso indevido de credenciais legítimas — ou seja, os criminosos não romperam barreiras, eles foram reconhecidos como usuários válidos”, afirma a executiva. “É uma falha de processo, não de tecnologia”, avalia Paula Yara.
Segundo ela, o sistema funcionou exatamente como deveria — e isso é o mais alarmante. “Os mecanismos de segurança reconheceram o criminoso como legítimo. Isso significa que a falha não foi no código, mas na governança de identidade e no monitoramento de acessos privilegiados”, afirma Paula Yara.
Falha tecnológica
Para a executiva, o episódio expõe a fragilidade do modelo de confiança implícita que sustenta grande parte do ecossistema financeiro digital. “O que falhou não foi uma fintech, foi um elo tecnológico central. Isso torna o incidente muito mais grave e exige uma reavaliação do modelo de terceirização tecnológica no setor”, diz.
A análise ocorre em meio à Consulta Pública 108/24, em andamento no Banco Central, que propõe regulamentar formalmente o BaaS no Brasil. Para Paula Yara, o ataque muda o tom da discussão: “Antes debatíamos estrutura de mercado e concorrência. Agora estamos falando de risco sistêmico e resiliência nacional”.
A executiva defende que o novo marco regulatório incorpore exigências claras de: governança de identidade e acesso (IAM); due diligence de fornecedores de infraestrutura; regras de responsabilidade solidária em falhas em cadeia; e auditoria contínua e monitoramento de anomalias em tempo real.
“O risco de quarta parte ficou escancarado. Uma fintech que contrata uma provedora de BaaS herda, sem saber, os riscos dos fornecedores dela. Esse ataque nos mostra que não é mais aceitável confiar por default. A confiança precisa ser conquistada, verificada e renovada continuamente”, observa.
Para o CEO do Grupo Ivy, Miller Augusto, o episódio reforça a urgência de revisão do marco regulatório e da governança tecnológica no setor financeiro: “Estamos diante de uma quebra de confiança sistêmica. O que ocorreu não foi um erro pontual, mas uma consequência de um modelo que terceiriza infraestrutura sem assumir responsabilidade integral. A regulamentação precisa avançar para proteger o sistema como um todo — e não apenas seus nós mais visíveis”.
Matéria atualizada às 7h53 de 4/7/2025 para correção de informação sobre instituições afetadas
