O suspeito, que trabalhava para uma empresa terceirizada ligada ao BC, teria repassado suas credenciais de acesso a criminosos que utilizaram os dados para cometer a fraude.
Por Redação, com Agenda do Poder – do Rio de Janeiro
O Departamento Estadual de Investigações Criminais (Deic) da Polícia Civil de São Paulo prendeu na noite de quinta-feira um homem suspeito de facilitar um ataque hacker que comprometeu a segurança de contas vinculadas ao Banco Central (BC) e causou prejuízos milionários.
O suspeito, que trabalhava para uma empresa terceirizada ligada ao BC, teria repassado suas credenciais de acesso a criminosos que utilizaram os dados para cometer a fraude.
Segundo os investigadores, o ataque — classificado como um dos mais graves da história recente do sistema financeiro nacional — afetou diretamente a infraestrutura digital da C&M Software (CMSW), empresa homologada pelo BC para integrar instituições financeiras aos sistemas do banco, como o PIX. A ação criminosa ocorreu na quarta-feira e provocou alvoroço no mercado, pela gravidade e amplitude do impacto.
O funcionário preso confirmou informalmente à polícia que entregou sua senha a terceiros, o que teria possibilitado o acesso indevido aos sistemas internos da CMSW e, por consequência, às contas de reserva de ao menos seis instituições financeiras conectadas à plataforma.
Invasão a sistema homologado pelo Banco Central
A C&M Software é uma empresa brasileira com atuação nacional e internacional que, desde 2001, é homologada pelo Banco Central para operar como ponte entre instituições financeiras — especialmente de menor porte — e os sistemas oficiais do órgão. Seus serviços incluem conectividade com o Sistema de Pagamentos Brasileiro (SPB), o que permite a realização de transferências, liquidações e operações via PIX.
Segundo informações divulgadas pela própria empresa, os hackers se aproveitaram de credenciais privilegiadas de clientes para acessar remotamente o sistema, comprometendo contas de reserva mantidas por bancos junto ao Banco Central. Essas contas funcionam como uma espécie de conta corrente utilizada pelas instituições para garantir liquidez, realizar aplicações e cumprir obrigações legais, como depósitos compulsórios.
Embora o BC não tenha confirmado oficialmente os valores desviados, fontes da TV Globo estimam que o rombo pode chegar a R$ 800 milhões. A instituição também não revelou a lista completa de instituições afetadas, mas já se sabe que a BMP, a Credsystem e o Banco Paulista estão entre as vítimas.
Etapas do ataque e falhas de segurança
Especialistas em segurança cibernética apontam que o ataque se deu por meio da chamada “cadeia de suprimentos” — uma estratégia na qual criminosos exploram brechas na infraestrutura de prestadores de serviço para acessar sistemas financeiros mais robustos. Segundo Micaella Ribeiro, da IAM Brasil, a invasão foi conduzida em quatro etapas:
Comprometimento de acesso: Possivelmente por meio de engenharia social, os atacantes convenceram funcionários da CMSW a fornecerem informações ou instalarem softwares de acesso remoto.
Reconhecimento interno: Já dentro do sistema, mapearam estruturas e testaram acessos, sem levantar suspeitas.
Exploração de sistemas sensíveis: Com credenciais privilegiadas, acessaram contas de liquidação e ambientes com permissão para movimentações financeiras.
Execução e monetização: As transações fraudulentas ocorreram fora do horário comercial e os valores desviados foram, segundo a especialista, provavelmente convertidos em criptoativos e distribuídos em múltiplas carteiras digitais.
– Essa movimentação foi feita por múltiplos agentes, indicando um ecossistema criminoso estruturado – afirmou Ribeiro.
Hiago Kin, presidente do Instituto Brasileiro de Resposta a Incidentes Cibernéticos (IBRINC), destacou que os criminosos “exploraram a confiança estabelecida entre os bancos e seus prestadores para se infiltrar indiretamente no ecossistema financeiro”.
Repercussões e medidas imediatas
O Banco Central determinou o desligamento das instituições afetadas da infraestrutura operada pela C&M Software. Na quinta-feira, após a adoção de medidas emergenciais, a suspensão foi parcialmente revertida. O BC afirmou que continua monitorando o caso e cobrando reforços nos protocolos de segurança.
A Polícia Federal também instaurou um inquérito para apurar o episódio. A investigação tramita sob sigilo. Já a Polícia Civil de São Paulo conduz paralelamente uma apuração por meio da 2ª Delegacia da Divisão de Crimes Cibernéticos do Deic.
“A investigação está em curso e visa identificar os responsáveis pelo crime, bem como rastrear os valores subtraídos. Diligências técnicas e operacionais estão em andamento e, devido à complexidade e à natureza do caso, mais detalhes não poderão ser divulgados neste momento”, informou a corporação.
Risco sistêmico e alerta ao setor financeiro
O incidente também acendeu um alerta entre especialistas e reguladores sobre a fragilidade de empresas intermediárias na segurança da cadeia financeira nacional. Micaella Ribeiro destaca três impactos principais: reputacional, com danos à imagem das instituições envolvidas; sistêmico, por expor falhas estruturais na gestão de acessos; e operacional, pela necessidade urgente de revisão de permissões e protocolos internos.
Apesar de as instituições afirmarem que não houve prejuízo direto aos clientes, a gravidade do episódio é incontestável. Segundo Hiago Kin, esse tipo de crime em larga escala ocorre duas ou três vezes por ano no país, mas, em geral, os casos são abafados pelas instituições afetadas para evitar danos à imagem.
– Desta vez, a repercussão foi maior porque várias instituições foram atingidas ao mesmo tempo. Geralmente essas empresas têm seguros cibernéticos milionários que cobrem o prejuízo, mas isso não elimina o risco sistêmico que ficou evidente – alertou Kin.
Investigação segue em sigilo
A identidade do funcionário preso ainda não foi divulgada. Segundo a Polícia Civil, a colaboração dele com a investigação será fundamental para rastrear os demais envolvidos e tentar recuperar parte dos valores desviados.
O caso deve acionar também o debate regulatório no Conselho Monetário Nacional e no próprio Banco Central sobre a fiscalização das empresas terceirizadas autorizadas a operar em ambientes de alta sensibilidade, como o Sistema de Pagamentos Brasileiro.
A expectativa de especialistas é que o episódio acelere mudanças nas regras de segurança, aumente a pressão sobre prestadoras de serviço e sirva de alerta ao setor financeiro para a necessidade de reforçar as defesas digitais diante do crescimento e da sofisticação das ameaças cibernéticas.