Na madrugada desta terça-feira (1º), o sistema financeiro brasileiro foi abalado por aquele que já é considerado o ataque hacker mais sofisticado da história do país. O alvo foi a C&M Software, empresa de tecnologia responsável por interligar bancos e instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB). A companhia operava como ponte entre essas instituições e o Banco Central, em operações como o Pix, ferramenta central da atual estrutura de pagamentos instantâneos.

A ação criminosa resultou em um prejuízo que pode ultrapassar R$ 1 bilhão, tornando esse o maior ataque cibernético já registrado no setor financeiro nacional. Ao identificar o crime, o BC promoveu a interrupção temporária do acesso de 22 instituições financeiras ao Pix, entre bancos, cooperativas, instituições de pagamento e sociedades de crédito. Isso ocorreu após o Banco Central determinar o desligamento emergencial da conexão da C&M, como medida de contenção.

O BC garantiu que sua infraestrutura não foi invadida e que o Pix permanece funcional para o restante do mercado. Ainda assim, os impactos do ataque foram graves e colocam em xeque a segurança do ecossistema digital de pagamentos no Brasil.

Uma estrutura frágil para um sistema veloz

O episódio revelou uma fragilidade estrutural em um dos pontos mais sensíveis da digitalização financeira: as mensagerias terceirizadas, como a C&M, que servem de canal entre o núcleo do Banco Central e instituições menores como fintechs, bancos digitais e cooperativas. Diferentemente dos grandes bancos, que operam com conexões diretas ao BC, essas instituições dependem de provedores de serviços de tecnologia da informação (PSTIs), elo que se mostrou vulnerável.

O incidente também reacende o debate sobre o modelo de expansão acelerada das fintechs e a dependência do sistema financeiro em relação a empresas terceirizadas para a execução de tarefas essenciais. O avanço tecnológico na oferta de serviços bancários não tem sido acompanhado por um nível proporcional de segurança cibernética, principalmente nos segmentos mais novos e com estruturas mais enxutas.

Fica então o questionamento: onde está esse dinheiro? Uma transação bilionária não pode ser feita sem nenhum rastro. Cadê o dinheiro? Dessa vez o BC garante que o dinheiro não era de pessoas físicas, mas e se houver uma próxima? Até quando podemos garantir que nós, clientes, estamos seguros?

Investigação e limites do rastreamento

As autoridades enfrentam dificuldades para rastrear os responsáveis e recuperar os valores desviados, em parte por conta do uso do próprio Pix como ferramenta de fuga rápida como transferências fracionadas, múltiplos destinatários e instantaneidade das operações dificultam as investigações.

Fontes próximas ao Banco Central admitem a necessidade de revisar com urgência os protocolos de segurança exigidos de empresas como a C&M. O episódio acendeu o alerta sobre o quanto o modelo atual pode estar subdimensionado para lidar com ataques cibernéticos em escala e sofisticação crescentes.

Fonte: Spbancarios