Na madrugada de 1º de julho de 2025, o Brasil testemunhou um dos mais graves ciberataques à sua infraestrutura financeira. Hackers invadiram os sistemas da C&M Software, uma empresa terceirizada que conecta bancos ao Banco Central para operações essenciais como o Pix e a liquidação via contas reservas.
O ataque resultou no desvio de valores que podem ter chegado a R$ 1 bilhão, afetando diretamente a liquidez de pelo menos cinco instituições financeiras. Embora os sistemas centrais do Banco Central não tenham sido comprometidos, o episódio escancarou vulnerabilidades profundas na segurança digital do setor financeiro tradicional.
A gravidade do caso não se resume apenas ao montante desviado, mas à sofisticação da operação.
Os criminosos usaram credenciais legítimas, apontando para um possível vazamento interno ou falha crítica na gestão de identidades e acessos. Esse cenário sublinha um problema estrutural: mesmo instituições com altos padrões tecnológicos continuam expostas se não houver políticas robustas de autenticação, controle de acessos e, crucialmente, governança de fornecedores.
Dados recentes corroboram essa preocupação: uma análise de junho de 2025 pela SecurityScorecard revelou um aumento de 25% nos ataques de terceiros entre as maiores instituições financeiras da Europa no último ano.
Alarmantes 96% das 100 maiores instituições financeiras europeias sofreram pelo menos uma violação de segurança através de um fornecedor. Em contraste, apenas 7% sofreram uma violação direta, evidenciando uma clara mudança para ataques à cadeia de suprimentos.
A dependência de um pequeno grupo de fornecedores tecnológicos, com apenas 15 empresas representando 62% do mercado global, amplifica esse risco.
É fundamental reconhecer a agilidade do Banco Central, que prontamente desligou a C&M do Sistema de Pagamentos Brasileiro (SPB), e a garantia das instituições afetadas de que seus clientes não sofreram prejuízos diretos.
Contudo, essa resposta emergencial não dispensa uma análise crítica sobre os riscos inerentes à terceirização em ambientes de alta sensibilidade. Empresas como a C&M, que lidam com dados e infraestruturas críticas, nem sempre são submetidas ao mesmo escrutínio, auditoria e governança que bancos e fintechs, criando um desequilíbrio perigoso entre tecnologia operacional e governança institucional.
A relevância dessa fragilidade foi confirmada poucos dias após o incidente, com a prisão de um funcionário da empresa terceirizada, acusado de facilitar o ataque mediante o fornecimento de credenciais internas em troca de pagamento.
O episódio evidencia a urgência de aplicar, também a prestadores de serviço, políticas rígidas de segurança cibernética, autenticação e controle de acessos — com ênfase em monitoramento contínuo, governança de terceiros e programas eficazes de prevenção à fraude interna.
O ataque à C&M Software lança luz sobre a dualidade dos criptoativos e da tecnologia blockchain nesse contexto.
Se, por um lado, a velocidade e o caráter pseudônimo de algumas criptomoedas podem ser explorados para a lavagem e dispersão de fundos roubados, por outro, a blockchain oferece um modelo de segurança e rastreabilidade que o sistema financeiro tradicional ainda luta para replicar em sua totalidade.
A natureza do Pix, com sua liquidação instantânea, dificultou a contenção dos danos. A capacidade de dispersão rápida dos valores demonstra que, apesar da recuperação parcial via Mecanismo Especial de Devolução (MED), há muito a evoluir em termos de monitoramento e alertas automáticos para transações anômalas.
Nesse ponto, as blockchains públicas se destacam pela sua transparência e imutabilidade. Cada transação é registrada em um livro-razão distribuído, tornando extremamente difícil alterar ou ocultar um histórico transacional.
O mundo cripto, no entanto, não está imune a incidentes. Em fevereiro de 2025, a exchange ByBit sofreu um roubo de US$ 1.4 bilhão em ETH, o maior assalto de criptomoedas da história, atribuído ao famoso Grupo Lazarus da Coreia do Norte.
Outros casos notáveis incluem o hack da Ronin Network em março de 2022 (US$ 615 milhões) e o exploit da Poly Network em agosto de 2021 (US$ 610 milhões), embora a maioria dos fundos tenha sido recuperada neste último.
Estima-se que US$ 2.2 bilhões em criptomoedas foram roubados em 2024, com as plataformas DeFi sendo os principais alvos, e aproximadamente US$ 16.7 bilhões roubados desde 2011.
Ao mesmo tempo, as criptomoedas têm sido usadas para atividades ilícitas. Em 2024, cerca de US$ 40 bilhões em cripto foram lavados, com stablecoins respondendo por 63% dessas transações, superando o Bitcoin (20%) como a escolha preferida para a lavagem de dinheiro.
No entanto, é importante notar que a porcentagem de transações ilícitas no volume total de criptoativos caiu para 0.14% em 2024, o menor patamar em quatro anos, indicando um avanço nas ferramentas de detecção e rastreamento.
Por outro lado, a tecnologia blockchain oferece soluções promissoras. A implementação de contratos inteligentes (smart contracts) em redes blockchain poderia automatizar e reforçar as políticas de segurança e governança de acessos.
Empresas como a Guardtime já usam sistemas baseados em blockchain para proteger registros de saúde.
No setor financeiro, o Santander foi pioneiro ao adotar blockchain para pagamentos internacionais, e o Barclays explorou a tecnologia para aumentar a segurança em transferências e combater fraudes. A própria IBM destaca as qualidades de segurança inerentes à blockchain, como criptografia, descentralização e consenso, que garantem a confiança nas transações e eliminam um único ponto de falha.
No universo das criptomoedas, o papel das exchanges (corretoras) é, de fato, fundamental, especialmente quando falamos de mecanismos de atuação célere das autoridades.
Embora a tecnologia blockchain seja descentralizada, a vasta maioria das transações de criptomoedas, e principalmente a conversão para moedas fiduciárias, acontece através de exchanges centralizadas. Isso as torna pontos de controle vitais para a prevenção e o combate a crimes financeiros.
Exchanges centralizadas, no Brasil e no mundo, são obrigadas a implementar políticas de Know Your Customer (KYC) e Anti-Money Laundering (AML), exigindo identificação dos usuários.
Elas também monitoram o fluxo de criptoativos e devem reportar atividades suspeitas a órgãos como o Conselho de Controle de Atividades Financeiras (COAF). Em tese, cooperam com investigações, fornecendo dados e históricos de transações sob solicitação judicial.
O problema surge quando a agilidade do crime digital se choca com a lentidão dos processos investigativos e regulatórios tradicionais. O caso C&M Software ilustra essa lacuna.
A fragmentação regulatória é um desafio; no Brasil, embora o Marco Legal das Criptomoedas (Lei 14.478/22) tenha designado o Banco Central como principal regulador, a regulamentação ainda está em fase de detalhamento.
Essa falta de consolidação pode criar zonas cinzentas que dificultam a ação rápida. Além disso, a jurisdição internacional e a existência de exchanges descentralizadas (DEXs), que não possuem controle centralizado de KYC/AML, complicam a recuperação de fundos. Moedas de privacidade, como Monero (XMR) e Zcash (ZEC), também dificultam o rastreamento.
Para mitigar esses riscos e permitir uma atuação mais rápida das autoridades, são urgentes as seguintes medidas:
Canais de Comunicação Diretos e Eficientes: É fundamental criar canais de comunicação rápidos e formalizados entre as exchanges, o Banco Central, a Polícia Federal, o COAF e o Ministério Público. Em casos de urgência, a burocracia não pode ser um impeditivo para a ação imediata.
Capacitação e Ferramentas Especializadas: As forças de segurança e órgãos de controle precisam de capacitação contínua em forense digital de criptoativos e de acesso a ferramentas de análise de blockchain. Empresas de inteligência de dados, como Chainalysis e Elliptic, já oferecem soluções que permitem rastrear e identificar padrões de atividades ilícitas.
Cooperação Internacional Reforçada: Dada a natureza sem fronteiras das criptomoedas, a cooperação internacional é indispensável. Acordos entre países e a adesão a padrões globais de combate à lavagem de dinheiro (como os do FATF/GAFI) são essenciais para combater crimes transnacionais envolvendo criptoativos.
Regulamentação Clara e Abrangente: O Banco Central e a CVM precisam finalizar as diretrizes específicas para o setor de criptoativos, estabelecendo requisitos claros de compliance, segurança cibernética, relatórios de transações e mecanismos de congelamento ou bloqueio de fundos em caso de atividades ilícitas. A Lei 14.478/22 já tipifica crimes relacionados a criptomoedas, mas a execução depende de normas complementares.
Incentivo à Inovação em Segurança: O setor regulador pode incentivar as exchanges a adotarem tecnologias avançadas de segurança, como Zero-Knowledge Proofs (ZKPs) para validações de dados com privacidade, e aprimorar seus sistemas de detecção de anomalias com inteligência artificial e aprendizado de máquina.
Esse episódio deve ser visto como uma oportunidade para que o Brasil amadureça sua infraestrutura financeira. Uma chance de revisar processos, fortalecer a governança sobre fornecedores, aprimorar os mecanismos de monitoramento em tempo real e, talvez o mais importante, explorar o potencial da tecnologia blockchain e dos criptoativos não apenas como ameaças em potencial, mas como ferramentas para construir um sistema financeiro mais seguro, transparente e resiliente.
A confiança no sistema financeiro, afinal, só pode ser sustentada por práticas eficazes e uma visão prospectiva que integre as inovações tecnológicas com uma segurança cibernética de ponta.
Comentários