O ataque que abalou o sistema financeiro nacional
Na madrugada entre os dias 30 de junho e 1º de julho de 2025, o Brasil presenciou um dos maiores ataques cibernéticos da sua história financeira. Uma brecha de segurança em uma fornecedora terceirizada do Banco Central, a C&M Software, permitiu que criminosos acessassem indevidamente contas de reserva de diversas instituições financeiras e movimentassem valores bilionários por meio do sistema Pix. Estima-se que entre R$ 540 milhões e R$ 1 bilhão tenham sido desviados em questão de horas. Esse caso não só levantou alarmes sobre a robustez da infraestrutura do Sistema de Pagamentos Brasileiro, mas também expôs fragilidades preocupantes sobre segurança, governança de dados, cultura organizacional e responsabilidades legais que vão além do aspecto técnico.
A engenharia social e o acesso interno comprometido
Tudo começou com a compra de credenciais internas de um colaborador da C&M. Um operador de TI, teria vendido acesso aos sistemas críticos da empresa em duas ocasiões, sendo nos meses de março e maio de 2025, após contatos presenciais e via WhatsApp com criminosos. Com esse acesso privilegiado, os invasores conseguiram operar dentro da estrutura do Banco Central como se fossem entidades autorizadas, disparando ordens de transferência de alto valor para contas de empresas-laranja. Em apenas três horas, pelo menos 166 transações via Pix foram executadas, com valores que chegaram a R$ 271 milhões em uma única transferência.
O rastro das transações e as primeiras respostas
Parte significativa desses valores foi rapidamente distribuída por empresas fictícias e tentada ser convertida em criptomoedas. Exchanges como a Binance e outras notaram movimentações incomuns e barraram as transferências em tempo hábil, mas uma parte dos recursos já havia sido encaminhada para carteiras fora do controle das autoridades. Diante da gravidade, o Banco Central desligou a C&M de sua infraestrutura de pagamentos, e a Polícia Civil de São Paulo efetuou a prisão de um suspeito ligado ao caso. A investigação segue com o envolvimento da Polícia Federal e do Coaf, dada a complexidade e alcance do golpe.
Os impactos financeiros diretos e sistêmicos
Do ponto de vista financeiro, o impacto direto é evidente: além dos recursos desviados, diversas instituições financeiras sofreram prejuízos operacionais. A fintech BMP, por exemplo, informou a perda de R$ 541 milhões de suas contas de reserva. Indiretamente, a desconexão da C&M causou instabilidade no acesso ao Pix para ao menos 22 instituições conectadas a ela, gerando interrupções temporárias no sistema e evidenciando o risco sistêmico de uma única prestadora.
A crise reputacional no setor financeiro
Ocorre que, talvez, o impacto mais profundo tenha sido reputacional. A C&M, mesmo se dizendo vítima do ataque, agora enfrenta questionamentos severos sobre sua política de segurança da informação, gestão de acessos internos e ausência de alertas comportamentais. A reputação de instituições financeiras que sofreram prejuízos também foi arranhada. Para o público leigo, a percepção é clara: se nem o Banco Central está imune, qualquer sistema pode ser violado. O ataque também comprometeu a imagem da cadeia de valor do SPB, que sempre foi vista como uma vitrine da modernização e confiabilidade financeira do Brasil.
A ausência de cultura de proteção de dados
Esse episódio escancarou a ausência de uma cultura de proteção de dados e segurança digital em muitas organizações. Embora os dados pessoais dos usuários não tenham sido diretamente expostos, houve violação de informações, neste caso, credenciais de acesso que funcionam como “chaves mestras” para sistemas críticos. O fato de um colaborador ter tido acesso irrestrito a sistemas de altíssima sensibilidade, sem monitoramento efetivo ou autenticação forte, aponta para uma governança deficiente.
LGPD e a responsabilidade dos agentes de tratamento
À luz da LGPD, o caso levanta discussões relevantes. A legislação determina que controladores e operadores devem adotar medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas. Ainda que o foco do ataque tenha sido transacional e não diretamente voltado a dados pessoais, a LGPD exige que as organizações responsáveis pela cadeia de tratamento tenham políticas de segurança eficazes e demonstrem diligência na contratação e supervisão de terceiros. Neste cenário, não se trata apenas de tecnologia, mas também de ética, compliance, responsabilidade institucional e governança de fornecedores.
Lições aprendidas: confiança exige vigilância
O incidente ensina que nenhum sistema é inquebrável e que a arquitetura de segurança precisa deixar de ser apenas uma camada técnica para se tornar um modelo estratégico e contínuo. A abordagem de “confiança zero” (Zero Trust), onde nenhum acesso é presumido como seguro, nem mesmo o de um funcionário interno, torna-se mais atual do que nunca. Isso inclui a implementação de autenticação multifator, segregação de funções, monitoramento constante de logs e análise comportamental automatizada. Além disso, mecanismos de alerta para transações anômalas, especialmente fora de horários usuais ou com padrões não conformes, devem ser padrão para instituições que movimentam valores significativos ou operam infraestrutura crítica.
A governança de fornecedores, outro pilar essencial, continua sendo negligenciada por muitas empresas. A LGPD é clara ao exigir que organizações avaliem a conformidade de seus operadores. No entanto, é comum ver contratos assinados sem due diligence mínima, sem auditorias recorrentes e sem análise de riscos reais da cadeia contratada. A ilusão de que um parceiro “grande e tradicional” é sinônimo de segurança pode ser fatal, como o caso demonstrou.
Conclusão: um chamado à ação
Por fim, a grande lição deixada pelo ataque ao Banco Central é que confiança se constrói com vigilância constante. Sistemas complexos exigem muito mais do que boas intenções e infraestrutura moderna, precisam de governança, de profissionais treinados, de políticas aplicadas, de testes simulados e, acima de tudo, de uma cultura de proteção que se estenda desde o topo da gestão até o último colaborador da cadeia.
Se até o núcleo do sistema financeiro nacional pôde ser violado por um simples acesso vendido por R$ 15 mil, imagine o que pode acontecer em empresas sem qualquer política de prevenção, sem plano de resposta a incidentes, sem controle de acessos e, pior, sem qualquer visão estratégica de proteção de dados. Que este episódio sirva como um chamado à ação, antes que o próximo ataque encontre, mais uma vez, uma porta escancarada pela falta de preparo.
DPO as a Service: prevenção, estratégia e resposta
No centro de toda essa reflexão, emerge uma solução que pode prevenir cenários semelhantes: a adoção de modelos de DPO as a Service. Em empresas que ainda não estruturaram uma área sólida de proteção de dados, o que é a realidade para muitas fintechs, startups e até empresas médias, contar com um Encarregado de Dados externo, experiente, com olhar técnico e jurídico, pode representar a diferença entre a prevenção e o caos. O DPO terceirizado não apenas atua de forma isenta e estratégica, mas também ajuda a integrar segurança, conformidade e cultura de privacidade, criando pontes entre áreas técnicas, operacionais e jurídicas.
Conte com a DPO Expert para a Melhor Solução em Proteção de Dados
A DPO Expert oferece um serviço completo de DPO as a Service, ajudando empresas a garantirem a segurança e a conformidade com a LGPD. Então, reduza riscos, evite multas e adote as melhores práticas de segurança da informação.
Clique aqui e veja como a DPO Expert pode proteger sua empresa.
Siga nossa página no LinkedIn
