Rombo Bilionário no Banco Central: Alerta e Lições para a Segurança Cibernética no Brasil – O que deve ter feito! – Parte 2

Na madrugada de 1º de julho de 2025, o Brasil testemunhou um dos maiores ataques cibernéticos de sua história. Criminosos desviaram cerca de R$ 1 bilhão de contas reservas mantidas no Banco Central, explorando credenciais fornecidas por um operador de TI da empresa C&M Software — responsável pela mensageria entre fintechs e o Sistema de Pagamentos Brasileiro (SPB), incluindo o PIX. A ação criminosa expôs de maneira brutal o despreparo e a fragilidade da infraestrutura digital não apenas do sistema financeiro, mas de toda a administração pública brasileira.

João Nazareno Roque, um simples técnico de informática da C&M Software, foi preso após vender suas credenciais por R$ 15 mil aos criminosos. Com isso, os hackers acessaram contas de reserva de instituições financeiras, como a BMP Money Plus, que reportou um prejuízo de R$ 541 milhões. A Polícia Civil de São Paulo apontou que o ataque não foi obra de amadores: tratou-se de uma operação estruturada, realizada em múltiplas fases, com diferentes níveis de acesso e persistência, característica comum em ataques sofisticados direcionados a alvos críticos.

Este episódio reacende o debate sobre a governança de identidades, proteção de credenciais, arquitetura de segurança e, principalmente, responsabilidade institucional. O mais grave é que falhas estruturais básicas foram ignoradas: ausência de autenticação multifator, armazenamento de chaves criptográficas fora de módulos HSM (Hardware Security Modules), permissões privilegiadas sem controle, e total negligência na cadeia de suprimentos digital. Em termos simples, o ataque foi possível porque se deu a chave da porta a quem não deveria tê-la.

Segundo o setor de cybersegurança, esse é um típico “ataque à cadeia de suprimentos” (supply chain attack), onde os invasores se aproveitam da relação de confiança entre empresas e seus fornecedores para se infiltrar. O caso da C&M escancara como a terceirização de serviços críticos, sem governança e controle de acesso, pode comprometer toda uma infraestrutura nacional. Como alertou a Thales, líder mundial em soluções de segurança e proteção de dados: “quando uma empresa terceirizada não protege adequadamente as credenciais, todo o sistema fica vulnerável”.

Além do fator tecnológico, o fator humano também foi decisivo. Estimativas indicam que mais de 90% dos incidentes de segurança no mundo envolvem erro humano — seja por negligência, desconhecimento ou má-fé. Em um cenário como o brasileiro, onde muitas instituições públicas ainda vivem sob estruturas digitais ultrapassadas, quase que num ambiente analógico, sem cultura de segurança da informação, o risco de repetição de episódios semelhantes é alarmante.

Diante disso, as medidas que precisam ser adotadas com urgência já são conhecidas e amplamente testadas. Destacam-se entre elas:

• Implantação de autenticação multifator (MFA) e biometria em todos os acessos sensíveis;
• Governança de identidades e gestão de privilégios com base na filosofia Zero Trust;
• Uso de módulos HSM para armazenamento seguro de chaves criptográficas;
• Monitoramento contínuo de acessos e comportamentos anômalos em tempo real;
• Treinamento recorrente de equipes e criação de uma cultura organizacional voltada à cibersegurança;
• Auditoria regular de fornecedores e parceiros tecnológicos com acesso aos sistemas internos;
• Políticas internas de resposta a incidentes e simulações periódicas de invasão.

É importante destacar que a Lei Geral de Proteção de Dados (LGPD) está em vigor desde 2020 e confere à Autoridade Nacional de Proteção de Dados (ANPD) poder para aplicar sanções administrativas a empresas e órgãos públicos que não tomem as medidas necessárias para proteger os dados pessoais sob sua responsabilidade. Cabe, portanto, à ANPD agir com rigor para evitar que a impunidade estimule a repetição de casos como este.

A dimensão internacional da repercussão também evidencia o impacto do ataque. Agências como Reuters, BBC e Cointelegraph noticiaram o caso, destacando a conversão dos valores desviados em criptomoedas e o potencial de lavagem de dinheiro digital. A confiança no sistema financeiro brasileiro sofreu um abalo significativo.

Mais do que um escândalo de segurança digital, este ataque deve ser encarado como um divisor de águas. A guerra cibernética deixou de ser ficção ou ameaça futura. Ela é real, atual e silenciosa — e pode atingir qualquer instituição que negligencie sua defesa digital. A falta de investimento em segurança cibernética, a ausência de cultura organizacional voltada à proteção de dados e o descumprimento da LGPD constituem não apenas falhas administrativas, mas graves riscos à soberania digital do país.

A pergunta que fica é: o que será necessário para que todos os gestores públicos e privados entendam que segurança cibernética não é mais uma escolha — é uma obrigação?

Oscar Soares Martins é consultor e especialista em cybersegurança e em IA