Na virada de junho para julho de 2025, o Brasil foi surpreendido por um dos maiores ataques cibernéticos já registrados no sistema financeiro nacional. O golpe aconteceu por meio da empresa C&M Software, uma prestadora de serviços que conecta instituições financeiras ao ambiente do PIX. Estima-se que os criminosos tenham desviado entre R$ 400 milhões e R$ 1 bilhão de contas reserva vinculadas ao Banco Central, sem sequer precisarem invadir fisicamente qualquer agência. Bastou um clique.
A operação foi facilitada por um funcionário terceirizado da própria C&M, que teria vendido o acesso às credenciais usadas na fraude. Um movimento silencioso, sem armas, sem máscaras, sem explosivos. Diferente dos assaltos cinematográficos como os de Araçatuba, ocorrido em 2021 ou o de Criciúma, ocorrido em 2024, o roubo desta vez ocorreu com perfis legítimos, em sistemas legítimos, por acessos aparentemente rotineiros. O dinheiro voou para carteiras digitais, foi convertido em criptoativos e rapidamente espalhado por meio de transações quase impossíveis de rastrear. Em poucas horas, o prejuízo já estava em curso.
Se antes os criminosos precisavam cavar túneis, corromper vigilantes e enfrentar a polícia na fuga, hoje o “aliciamento” acontece nos bastidores digitais. Profissionais de segurança da informação e de tecnologia se tornaram os novos vigilantes e, como no passado, também são alvos de coação, corrupção ou manipulação e, em muitos casos, são infiltrados nas organizações pelo próprio crime organizado. Afinal, é mais fácil convencer alguém a compartilhar uma senha do que assaltar um carro-forte ou uma agência bancária.
E assim, o assalto a banco evoluiu. Tornou-se um crime de cliques. Um bom roteiro, um acesso privilegiado, a ausência de controles adequados e milhões desaparecem sem barulho. Não há mais exposição pública, riscos de confronto ou perseguições cinematográficas. Há apenas a vulnerabilidade humana operando um sistema digital.
O caso da C&M e Banco Central expôs que, no mundo moderno, as instituições não precisam apenas de firewalls robustos e autenticação em múltiplos fatores. Precisam de gente treinada, valorizada e comprometida. Porque quando a falha é humana e, quase sempre é, nem o melhor sistema resiste. E o que antes era assalto à mão armada, hoje é só mais uma transação aprovada por um acesso legítimo, sem que ninguém perceba. Até que seja tarde demais.
Bruno César Teixeira de Oliveira, com uma carreira sólida na gestão de riscos, compliance e prevenção a fraudes em instituições financeiras.
