O Caso C&M Software: Riscos Cibernéticos no Setor Financeiro
Em 1º de julho de 2025, o Brasil testemunhou um dos maiores ataques cibernéticos à sua infraestrutura financeira: a C&M Software, prestadora de serviços tecnológicos conectando instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), foi alvo de um ataque que desviou entre R$ 400 milhões e R$ 1 bilhão. Esse incidente expõe vulnerabilidades sistêmicas e destaca a urgência de uma abordagem robusta de governança, compliance e segurança cibernética.
O que ocorreu: Ataque à infraestrutura crítica
O ataque foi facilitado por João Roque, funcionário da C&M Software, que vendeu suas credenciais de acesso a hackers por aproximadamente R$ 13.000. Utilizando essas credenciais, os criminosos realizaram transações fraudulentas em contas reserva mantidas diretamente no Banco Central, utilizadas para liquidações interbancárias via Pix e TED. Seis instituições financeiras foram afetadas, incluindo o Banco Modal Partners (BMP), que confirmou o incidente, mas assegurou que os fundos dos clientes não foram comprometidos.
O Banco Central reagiu prontamente, suspendendo o acesso da C&M Software à infraestrutura do SPB e determinando a desconexão das instituições afetadas. A empresa afirmou que foi vítima de uma ação criminosa externa e que seus sistemas críticos permaneceram íntegros. No entanto, reconheceu falhas na gestão de credenciais e na configuração de segurança.
Riscos materializados e perdas
1. Risco de acesso não autorizado
A venda de credenciais por um funcionário possibilitou o acesso não autorizado aos sistemas da C&M Software, evidenciando falhas nos controles internos e na gestão de privilégios.
2. Risco financeiro direto
O desvio de recursos das contas reserva impactou diretamente as instituições financeiras envolvidas, embora não tenha afetado os fundos dos clientes. Estima-se que o valor desviado tenha sido entre R$ 400 milhões e R$ 1 bilhão.
3. Risco reputacional
A confiança no sistema financeiro nacional foi abalada, afetando a imagem da C&M Software, das instituições envolvidas e do Banco Central. A rápida conversão dos fundos roubados em criptomoedas dificultou o rastreamento e recuperação dos valores.
4. Risco regulatório e legal
A C&M Software, como prestadora de serviços críticos, pode enfrentar sanções sob a Lei Geral de Proteção de Dados (LGPD), o Código de Defesa do Consumidor (CDC) e o Marco Civil da Internet, devido à falha na segurança dos dados e na prestação de serviços essenciais.
Investigações e ações corretivas
A Polícia Civil de São Paulo prendeu João Roque, que alegou ter sido abordado por hackers em um bar e posteriormente vendeu suas credenciais. A investigação identificou pelo menos quatro outros envolvidos e bloqueou R$ 270 milhões relacionados ao incidente. A C&M Software contratou uma auditoria externa para revisar suas políticas de segurança e implementou medidas para reforçar seus controles internos.
Lições para o compliance e gestão de riscos
1. Governança de TI e segurança cibernética
É essencial adotar práticas de segurança como "privacy by design" e "zero trust", implementando segmentação de rede, autenticação multifatorial e monitoramento contínuo.
2. Gestão de terceiros e due diligence
A interdependência entre instituições financeiras e seus fornecedores exige avaliações rigorosas de segurança e auditorias periódicas para mitigar riscos de terceiros.
3. Resposta a incidentes e continuidade operacional
Desenvolver planos de resposta a incidentes e continuidade de negócios, alinhados às exigências regulatórias, é crucial para minimizar impactos e garantir a resiliência operacional.
4. Conscientização e treinamento
Investir em programas de conscientização e treinamento contínuo para colaboradores e parceiros, focando na identificação de ameaças como engenharia social e phishing, é fundamental para prevenir ataques.
Conclusão
O incidente com a C&M Software serve como um alerta para a necessidade de uma abordagem integrada de segurança cibernética, governança e compliance no setor financeiro. A colaboração entre empresas, reguladores e autoridades é essencial para fortalecer a infraestrutura digital e proteger o sistema financeiro nacional contra ameaças cibernéticas cada vez mais sofisticadas.
