A reação do Banco Central após o “roubo do século”

Um sofisticado ataque cibernético contra uma empresa de infraestrutura bancária sacudiu o sistema financeiro nacional nesta semana. A C&M, uma provedora de serviços de Banking as a Service (BaaS) no Brasil, foi invadida por hackers que conseguiram acessar contas de reserva vinculadas ao Banco Central (BC) e realizar transferências fraudulentas em grande escala. Fontes ligadas à investigação estimam que o prejuízo pode alcançar cifras bilionárias, tornando esse o maior ataque hacker já registrado no setor financeiro do país.

A ofensiva afetou diretamente empresas que utilizam a estrutura da C&M para operar como instituições financeiras sem, de fato, serem bancos. Entre os atingidos estão a BMP Money Plus, o Bradesco e a Credsystem, todos com operações interligadas ao Sistema de Pagamentos Brasileiro (SPB) por meio da plataforma da C&M.

Como funciona o BaaS — e por que o risco é sistêmico

O modelo BaaS permite que fintechs e empresas não bancárias ofereçam serviços como contas digitais, transferências e boletos. A estrutura tecnológica e a interface com o Banco Central ficam a cargo de empresas como a C&M. Isso significa que, embora o cliente final interaja com uma marca de fachada, quem realiza a transação nos bastidores é a plataforma BaaS.

No centro desse ecossistema estão as contas de reserva, usadas para liquidações interbancárias e movimentações via SPB. Elas não são acessadas diretamente pelos usuários finais, mas têm nível de segurança elevado — ou deveriam ter. Justamente por isso, o ataque levanta sérias preocupações sobre os padrões de proteção cibernética adotados por intermediárias financeiras.

Resposta imediata do BC e apuração de responsabilidades

Assim que identificou a invasão, o Banco Central determinou o desligamento imediato da C&M de seus sistemas. A decisão visou proteger a integridade do SPB e conter o risco de contaminação em outras operações. A C&M, agora fora do ar, está impossibilitada de movimentar recursos.

Apesar da gravidade do caso, o BC ainda não divulgou oficialmente o valor do prejuízo, limitando-se a afirmar que “monitora a situação e apura responsabilidades”. A Polícia Federal também está envolvida na investigação, diante da complexidade e abrangência do ataque.

Fraude em escala: fundos desviados foram parar em exchanges de criptoativos

Um dos pontos mais preocupantes da apuração é o destino dos recursos desviados. Parte significativa foi enviada para plataformas ligadas ao mercado de criptoativos, incluindo exchanges, gateways de pagamento e mesas OTC (over-the-counter). Os golpistas usaram o Pix para acelerar a movimentação e buscaram converter os valores rapidamente em moedas digitais como USDT e bitcoin, dificultando o rastreamento e a recuperação dos fundos.

Especialistas em segurança afirmam que esse padrão de comportamento é típico de operações de “lavagem de dinheiro digital”, aproveitando brechas regulatórias e a fluidez das transferências instantâneas.

Cadeia de confiança em xeque

O episódio expõe uma fragilidade estrutural no modelo BaaS, que cresce rapidamente no Brasil, mas ainda carece de regulações mais rigorosas em termos de segurança e governança. O fato de que uma única empresa — a C&M — possa, por falhas de segurança, comprometer grandes instituições financeiras levanta a discussão sobre resiliência cibernética e responsabilidade compartilhada.

Se comprovadas falhas graves ou negligência, a C&M poderá sofrer sanções regulatórias severas, incluindo perda da autorização para operar no sistema do Banco Central.

O que vem a seguir

Nos bastidores, a pressão é intensa. Instituições impactadas cobram esclarecimentos, e o mercado observa com atenção os desdobramentos. Além de possíveis perdas financeiras, o caso representa um duro golpe na confiança do ecossistema BaaS — uma das principais apostas para a inovação no sistema bancário brasileiro.

A expectativa agora é de que o Banco Central intensifique a fiscalização sobre empresas que atuam como intermediárias de infraestrutura financeira. O caso também deve reacender o debate sobre o uso de criptoativos em esquemas de fraude e a urgência de uma regulação mais robusta para transações digitais de alta volatilidade.

Compartilhe nas redes sociais

Bruno Rigacci

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Este site usa cookies para garantir que você tenha a melhor experiência em nosso site! ACEPTAR
Aviso de cookies