#Acesse Política | O site de política mais acessado da Bahia! O site de política mais acessado da Bahia!
O funcionário João Nazareno Roque, da empresa terceirizada C&M Software, foi preso na noite desta quinta-feira (3) pelo Departamento Estadual de Investigações Criminais (DEIC) da Polícia Civil de São Paulo, após confessar que permitiu o acesso de hackers ao sistema sigiloso do Banco Central por meio de seu computador. A revelação escancara a fragilidade na segurança de empresas que operam como ponte entre instituições financeiras e o sistema de pagamentos nacional.
O ataque cibernético, ocorrido na última terça-feira (1º), é considerado um dos mais sofisticados da história do sistema financeiro brasileiro. A ofensiva resultou no desvio de centenas de milhões de reais, atingindo diretamente contas de liquidação de pelo menos oito instituições financeiras e fintechs, com impacto em cadeia sobre os sistemas de pagamento.
Segundo as investigações, os criminosos utilizaram credenciais legítimas obtidas a partir da C&M Software, que integra bancos menores ao Sistema de Pagamentos Brasileiro (SPB). O principal foco da apuração é entender como essas credenciais foram acessadas e como o ataque foi executado com tanta rapidez — em poucos minutos, os hackers conseguiram movimentar grandes volumes de recursos via Pix, utilizando as chamadas “contas reserva”, utilizadas para liquidação de transações entre instituições.
Apenas da empresa BMP, especializada em soluções de banking as a service, foram desviados cerca de R$ 400 milhões. O prejuízo total estimado já ultrapassa R$ 800 milhões e pode alcançar cifras superiores a R$ 3 bilhões, de acordo com estimativas preliminares.
Além do inquérito do DEIC, a Polícia Federal conduz uma investigação paralela para apurar se há envolvimento de organizações criminosas especializadas em fraudes digitais. Os valores desviados foram rapidamente pulverizados em dezenas de transações simultâneas, o que dificulta o rastreamento e a recuperação dos recursos.
O caso levanta sérias dúvidas sobre a segurança dos chamados Provedores de Serviços de Tecnologia da Informação (PSTIs), como a C&M Software, responsáveis por intermediar a comunicação entre fintechs e o Banco Central. Embora a arquitetura principal do BC não tenha sido invadida, o episódio expôs vulnerabilidades na cadeia tecnológica que sustenta a digitalização do sistema bancário nacional.
Em nota, a C&M Software afirmou ser vítima direta da ação criminosa e declarou estar colaborando com todas as autoridades envolvidas, incluindo a Polícia Federal, o Banco Central e a Polícia Civil paulista. Já o Banco Central confirmou o incidente e determinou o desligamento temporário da infraestrutura da C&M, medida que impactou diretamente o funcionamento do Pix em cerca de 300 instituições financeiras conectadas por meio da empresa.
Especialistas em segurança digital avaliam que o caso pode acelerar a revisão dos protocolos de segurança exigidos dos intermediários tecnológicos do sistema financeiro, assim como estimular uma reestruturação das camadas de proteção no ecossistema de pagamentos do país.
