O sistema financeiro do Brasil é seguro? Essa é uma das principais perguntas que ficaram após o ataque cibernético que afetou pelo menos seis instituições financeiras do país na última quarta-feira (2). Após ser notificado, o Banco Central do Brasil (BC) divulgou que a C&M Software (CMSW), uma empresa de tecnologia que conecta bancos menores aos sistemas do Pix, relatou uma invasão à sua infraestrutura. De acordo com a própria companhia, cibercriminosos usaram credenciais, como senhas, de seus clientes para acessar os sistemas e serviços — o que permitiu acesso indevido a informações e contas de reserva das instituições financeiras, cujos nomes não foram divulgados. Segundo fontes do mercado, o ataque pode ter desviado mais de R$ 1 bilhão. A quantia exata ainda não foi mensurada.
Contas de pessoas físicas não foram afetadas, segundo informações iniciais — apenas contas de reserva, obrigatórias por lei como garantia das operações das instituições financeiras junto ao BC. O funcionário da C&M, que teria facilitado o acesso dos hackers ao sistema, foi preso.
O BRAZIL ECONOMY ouviu especialistas para responder à pergunta que inicia esta reportagem. Apesar da dimensão e da efetividade do ataque, considerado um dos maiores de todos os tempos no Brasil, a resposta é: sim, o sistema financeiro do país é seguro.
Aliás, é praticamente unânime que o setor é avançado, com serviços e atendimento que são referência, inclusive, para países desenvolvidos da Europa e da América do Norte. A proteção também é elogiada, embora ainda haja espaço para avanços.
Para Marco Zanini, CEO da Dinamo Networks, o sistema financeiro do Brasil é um dos mais seguros do mundo. Ele aponta duas falhas graves identificadas até o momento: a primeira foi o acesso aos certificados digitais que assinam as transações; a segunda, o fato de os hackers terem conseguido privilégios de acesso ao sistema ao obterem a senha de um operador de uma empresa que orbita o sistema do Banco Central.
“As providências envolvem a necessidade de hardware de custódia de chaves, como os famosos HSMs — Módulos de Segurança de Hardware (Hardware Security Modules) — que os grandes bancos utilizam para impedir que esses certificados sejam copiados. O segundo ponto é a necessidade de um método de autenticação mais forte para os operadores, com múltiplas senhas e sistemas que não permitam que alguém assuma o sistema apenas com uma senha”, explicou Zanini.
Sérvulo Mendonça, chairman da Holding SM, corrobora: o sistema financeiro brasileiro é seguro e bem estruturado, até porque opera segundo regras rígidas do Banco Central, que está alinhado aos padrões internacionais, como o Basileia III.
“A digitalização avançada e a capacidade de rastrear transações em tempo real fortalecem a segurança. Mas, obviamente, nenhum sistema é infalível. Por isso, o foco deve estar na detecção, reação e recuperação rápida diante de qualquer ameaça”, sugeriu.
Para Mendonça, as falhas não estão na estrutura central do sistema. “Se fizermos uma analogia rápida, raramente encontramos desvios nas vias principais, e sim nas vicinais, nas pontas. Ou seja, nas instituições que integram o ecossistema financeiro, que em geral envolvem vulnerabilidades tecnológicas, falhas em APIs ou integrações mal protegidas”, frisou o especialista. Ele ressaltou a necessidade de fortalecer a governança de tecnologia, ampliar os testes de segurança, integrar inteligência cibernética entre instituições e envolver os conselhos na gestão de riscos digitais.
Na avaliação de Renato Peres, especialista em combate a fraudes financeiras e head da 4AXON, o sistema financeiro brasileiro é um dos mais seguros do mundo. “O Banco Central do Brasil é uma referência mundial, sendo citado como um case a ser estudado em diversas áreas, tendo inclusive ganhado o prêmio de Banco Central do Ano em 2024.”
É para as pessoas físicas se preocuparem?
Sim, na avaliação de Zanini, da Dinamo Networks — mas não com o caso atual. A preocupação é mais ampla. “Por exemplo, não deixar vazar a senha, não dar acesso para terceiros. Mas, em relação ao sistema e a esse caso específico, as pessoas físicas de forma alguma foram atacadas. Portanto, não há motivo para preocupação. Esse foi um problema em uma rede de comunicação entre os bancos e o Banco Central, distante das pessoas físicas.”
Segundo Mendonça, da Holding SM, os clientes dos bancos devem estar sempre atentos — mas sem pânico neste caso específico. “A maioria dos golpes ocorre por engenharia social, ou seja, links falsos, aplicativos fraudulentos e vazamentos de senhas e dados. A tecnologia em si é segura, mas o elo fraco continua sendo o comportamento do usuário, do ser humano”, afirmou.
“Adotar boas práticas digitais, como autenticação em dois fatores e atenção ao que se acessa, é fundamental. Segurança também é uma responsabilidade individual — culpar terceiros por tudo não resolve falhas que, muitas vezes, partiram de nós mesmos”, completou Mendonça.
Para Peres, da 4AXON, a invasão à C&M Software acende um sinal de alerta sobre as instituições que escolhemos para confiar nossa vida financeira. “É recomendável que nos preocupemos com a solidez e confiabilidade das instituições das quais nos tornamos clientes.”
E o Pix?
Na análise de Zanini, o Pix é seguro — o problema foi o operador, que abriu uma porta para a fraude. “O Banco Central precisa regulamentar de forma obrigatória um sistema de custódia de certificados, que hoje é apenas recomendado. Também deve realizar auditorias nos sistemas de controle de acesso à rede Pix, para garantir um monitoramento mais rigoroso.”
Para Mendonça, o Pix, como tecnologia, é seguro e eficiente. “O que precisa evoluir são os mecanismos de proteção no uso cotidiano, como limites dinâmicos, bloqueios cautelares e filtros comportamentais para detectar operações suspeitas. Essas melhorias já estão em andamento e devem avançar sem comprometer a agilidade que fez do Pix um sucesso.”
Segundo Peres, o Pix — assim como outras iniciativas do Banco Central — “é um dos mais eficientes e seguros do mundo, servindo de referência na criação de modelos similares em diversos países”.
