Na madrugada de 1º de julho de 2025, o Brasil enfrentou um dos piores ciberataques contra sua estrutura financeira. Hackers invadiram os sistemas da C&M Software, uma empresa que faz a ligação entre os bancos e o Banco Central, responsável por operações cruciais como o Pix e a liquidação via contas reservas. O resultado foi o desvio de até R$ 1 bilhão, afetando diretamente a liquidez de pelo menos cinco instituições financeiras. Apesar de os sistemas centrais do Banco Central não terem sido atingidos, o ataque expôs a fragilidade da segurança digital no setor financeiro.
A complexidade desse ataque vai além do valor desviado. Os criminosos utilizaram credenciais legítimas, o que levanta questões sobre possíveis vazamentos de informações internas ou falhas na gestão de acessos. Isso mostra que, mesmo com alta tecnologia, as instituições financeiras ficam vulneráveis se não tiverem políticas de autenticação e controle eficientes. É um alerta claro sobre a necessidade de uma governança mais sólida entre os fornecedores.
Dados recentes mostram que as preocupações com a segurança são válidas. Uma análise feita em junho de 2025 apontou um aumento de 25% nos ataques a terceiros nas principais instituições financeiras da Europa. Alarmantemente, 96% das cem maiores instituições financeiras europeias sofreram, pelo menos, uma violação de segurança via fornecedores, enquanto apenas 7% enfrentaram ataques diretos. Isso ressalta uma mudança significativa nos métodos de ataque, voltando-se para a cadeia de suprimentos.
Um ponto positivo foi a rapidez do Banco Central em desligar a C&M do Sistema de Pagamentos Brasileiro (SPB), e as instituições afetadas garantiram que seus clientes não iam sofrer perdas diretas. Contudo, a resposta rápida não diminui a importância de uma análise crítica sobre os riscos da terceirização, especialmente quando se trata de dados sensíveis. Empresas como a C&M, que lidam com informações críticas, nem sempre passam por auditorias rigorosas, criando um descompasso perigoso entre a segurança da tecnologia e a supervisão institucional.
Poucos dias após o ataque, um funcionário da C&M foi preso por facilitar o crime, vendendo credenciais internas. Isso enfatiza a urgência de adotar políticas rigorosas de segurança cibernética, tanto para empresas de serviços quanto para instituições financeiras. É essencial que haja um monitoramento contínuo e uma governança forte para evitar fraudes internas.
Criptoativos e Blockchain: Desafios e Oportunidades para a Segurança Financeira
Esse incidente deixa um alerta sobre a dualidade dos criptoativos e da tecnologia blockchain. Por um lado, a velocidade e o caráter pseudônimo de algumas criptomoedas podem ser utilizados para lavar e dispersar fundos roubados. Por outro lado, a blockchain apresenta um modelo de segurança e rastreabilidade que o sistema financeiro tradicional ainda luta para alcançar.
A natureza do Pix, com sua liquidação rápida, complicou a contenção dos danos. A agilidade na dispersão de valores mostrou que, apesar de algumas tentativas de recuperação via Mecanismo Especial de Devolução (MED), o sistema ainda precisa avançar em monitoramento e alertas automáticos para transações suspeitas. Nesse contexto, as blockchains públicas ganham destaque pela sua transparência e imutabilidade, tornando muito difícil alterar um histórico de transações.
Porém, o mundo dos criptoativos também não está livre de problemas. Em fevereiro de 2025, a exchange ByBit sofreu um roubo de US$ 1,4 bilhão em ETH, tornando-se o maior furto de criptomoedas da história, supostamente ligado ao célebre Grupo Lazarus da Coreia do Norte. Outros casos notáveis incluem o hack da Ronin Network e o exploit da Poly Network, que, embora tenham resultado em grandes perdas, viram a recuperação de parte dos fundos.
Em 2024, estima-se que US$ 2,2 bilhões em criptomoedas tenham sido furtados, com as plataformas DeFi sendo os principais alvos. Apesar disso, um dado positivo é que a porcentagem de transações ilícitas entre criptoativos caiu para 0,14%, o menor nível em quatro anos. Isso sinaliza um progresso nas ferramentas de rastreamento e detecção.
A tecnologia blockchain também promete soluções. Implementar contratos inteligentes poderia reforçar políticas de segurança e controle de acesso de forma automatizada. Empresas como a Guardtime utilizam blockchain para proteger dados de saúde, enquanto instituições como o Santander e o Barclays exploram essa tecnologia para pagamentos internacionais e segurança em transferências.
O Papel Central das Exchanges e a Necessidade de Celeridade Regulatória
Dentro dos criptoativos, o papel das exchanges (corretoras) é crucial, especialmente em casos que exigem uma resposta rápida das autoridades. Embora a tecnologia blockchain seja descentralizada, a maioria das transações ocorre através de exchanges centralizadas, transformando essas plataformas em pontos de controle fundamentais para a prevenção de crimes financeiros.
Essas exchanges são obrigadas a implementar políticas de Know Your Customer (KYC) e Anti-Money Laundering (AML). Isso inclui a identificação dos usuários e a obrigação de monitorar o fluxo de criptoativos, reportando atividades suspeitas a órgãos competentes como o COAF. Em teoria, elas colaboram com investigações, fornecendo dados sobre transações quando solicitado judicialmente.
O desafio surge quando a velocidade dos crimes digitais esbarra na lentidão dos processos regulatórios tradicionais. O caso da C&M Software exemplifica essa lacuna, destacando a necessidade de um marco regulatório mais ágil. Embora o Marco Legal das Criptomoedas tenha designado o Banco Central como principal regulador, a regulamentação ainda está em desenvolvimento, criando potencialmente zonas cinzentas que dificultam ações rápidas. As exchanges descentralizadas (DEXs), que não seguem um controle centralizado de KYC/AML, complicam ainda mais a recuperação de fundos, principalmente com moedas de privacidade como Monero e Zcash.
Lições e Oportunidades: Rumo a um Sistema Financeiro Mais Resiliente
Para tornar o sistema financeiro mais seguro e permitir uma atuação mais rápida das autoridades, algumas medidas precisam ser implementadas:
Canais de Comunicação Diretos: Criar uma linha de comunicação ágil entre exchanges, Banco Central, Polícia Federal e Ministério Público. A burocracia não pode ser um empecilho em casos de urgência.
Capacitação e Ferramentas Especializadas: Os órgãos de segurança precisam de formação contínua em forense digital de criptoativos e acesso a ferramentas de análise de blockchain. Empresas de inteligência já oferecem soluções eficazes para rastreamento.
Cooperação Internacional Reforçada: A natureza sem fronteiras das criptomoedas pede colaborações internacionais. Acordos entre nações e a adesão a padrões globais de combate à lavagem de dinheiro são essenciais.
Regulamentação Clara: O Banco Central e a CVM devem finalizar diretrizes específicas para os criptoativos, com requisitos claros de compliance e segurança cibernética.
Incentivo à Inovação em Segurança: O setor regulador pode estimular as exchanges a adotar tecnologias que melhorem a segurança, como Zero-Knowledge Proofs (ZKPs) e sistemas baseados em inteligência artificial para detecção de anomalias.
Esse incidente deve ser encarado como uma oportunidade para o Brasil amadurecer sua infraestrutura financeira. É um momento para revisar processos, reforçar a governança dos fornecedores e aproveitar o potencial da tecnologia blockchain e dos criptoativos, não apenas como ameaças, mas como aliados na construção de um sistema financeiro mais seguro e resiliente.
