Quase R$ 1 bilhão evaporou das contas de instituições financeiras ligadas ao Banco Central, em um golpe digital digno de roteiro de série. Mas, diferente de La Casa de Papel, aqui não teve máscara do Salvador Dalí, reféns nem explosivos. Teve só linha de código, conhecimento profundo do sistema financeiro e um plano executado com precisão cirúrgica.
A ponte invisível que virou alvo
O golpe não mirou diretamente os cofres do Banco Central. O alvo foi a C&M Software, uma empresa pouco conhecida do público, mas absolutamente essencial para o sistema financeiro nacional. Ela atua nos bastidores, conectando instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), por onde passam transferências via Pix, TED, liquidações de cartão e outros serviços.
Ou seja, em vez de arrombar portas, os hackers descobriram a chave mestra. Entraram pela retaguarda e abriram diversos cofres de uma vez só, sem disparar um alarme sequer.
Segundo estimativas apuradas pela Exame e pelo Brasil Journal, o rombo pode ultrapassar R$ 1 bilhão. Só da fintech BMP (Banking as a Service), cerca de R$ 400 milhões foram desviados. A empresa fornece infraestrutura bancária para prefeituras, varejistas e outras marcas que querem oferecer contas Pix e cartões com a própria identidade.
Apesar do baque, a BMP garantiu que nenhum cliente final foi prejudicado. O golpe aconteceu dentro da chamada conta reserva, usada para liquidações no Banco Central. Outras empresas que utilizavam os serviços da C&M também relataram prejuízos, com estimativas de mais de R$ 50 milhões por instituição.
Assim que o dinheiro foi desviado, os hackers teriam convertido tudo em criptomoeda, provavelmente Bitcoin, e enviado para o exterior, com foco na Turquia. O próprio sistema do Pix foi usado como “porta de entrada” para o golpe, o que torna a devolução praticamente impossível. Na prática, esse dinheiro não volta nunca mais.
O Banco Central e o fim de semana agitado
O Banco Central agiu rápido e cortou o acesso da C&M ao sistema, suspendendo temporariamente as operações da empresa. O caso está sendo investigado pela Polícia Civil de São Paulo, com apoio da Polícia Federal.
Segundo a própria C&M, os “sistemas críticos continuam operacionais” e os protocolos de segurança foram cumpridos. Ainda assim, o estrago está feito. Instituições como Banco Carrefour, Banco Paulista, Credsystem e até uma grande igreja evangélica foram afetadas.
O mais impressionante é que tudo isso aconteceu sem arrombar uma parede, sem invadir um banco físico, sem explodir nada. Os hackers não precisaram sair de casa. Pode ter sido feito, literalmente, da cadeira de escritório de alguém em um fim de semana qualquer.
Na série, o “Professor” leva temporadas para orquestrar o roubo da Casa da Moeda. Aqui, bastou uma vulnerabilidade e algumas credenciais para abrir caminho para um dos maiores roubos digitais do país.
E a pergunta que fica é: o que mais está vulnerável, e ninguém está vendo? Porque quando o plano é inteligente, o sistema só percebe quando o dinheiro já virou poeira digital.
Segurança não é custo, é estratégia
Esse episódio é um alerta claro para empresas de todos os portes: a tecnologia que impulsiona os negócios também precisa de proteção robusta e times preparados. A vulnerabilidade pode estar onde menos se espera, na cadeia de fornecedores, em acessos mal gerenciados ou em equipes despreparadas.
Na Fast Lane, oferecemos treinamentos avançados em cibersegurança, resposta a incidentes, hardening de sistemas, análise de vulnerabilidades e gestão de riscos, com certificações das maiores empresas de tecnologia do mundo — como Cisco, Splunk, Google e Microsoft.
- Fortaleça sua infraestrutura.
- Prepare sua equipe.
- Transforme a segurança da sua empresa em diferencial competitivo.
Conheça nossos programas de capacitação em: https://www.flane.com.pa/pt/cyber-security
