Cyber Segurança

O maior ataque hacker do Brasil: R$ 500 milhões desviados e muitas perguntas sem resposta

Investigações sobre o ataque ao sistema financeiro nacional levantam dúvidas sobre segurança, fiscalização e o papel do Banco Central

Em apenas duas horas, durante a madrugada da quarta-feira (2), criminosos virtuais desviaram mais de R$ 500 milhões de reservas bancárias no que já é considerado o maior ataque hacker da história do sistema financeiro brasileiro. Uma semana após o escândalo, as autoridades ainda não conseguiram esclarecer os detalhes mais críticos do crime.

O ataque teve como alvo a fintech BMP, que atua no setor de crédito empresarial, e a C&M Software, uma empresa de tecnologia com autorização do Banco Central para operar como intermediária entre instituições bancárias e o sistema financeiro nacional, incluindo operações via Pix.

Apesar das prisões iniciais e do início das investigações, perguntas fundamentais permanecem sem resposta — incluindo o destino final do dinheiro, a extensão real dos danos e possíveis falhas de segurança do próprio Banco Central.

Qual foi o prejuízo real?

Até o momento, os valores confirmados superam os R$ 500 milhões, mas estimativas indicam que o total pode ultrapassar R$ 1 bilhão. O operador de TI João Nazareno Roque, preso por envolvimento no golpe, teria ouvido de comparsas que a cifra poderia ser ainda maior. O valor oficial só será divulgado ao fim da apuração pela Polícia Federal.

Quantos bancos foram atingidos?

Inicialmente, a BMP reportou movimentações suspeitas ao Banco Central, revelando o ataque. Contudo, ao menos seis das nove empresas autorizadas pelo BC como intermediárias também foram afetadas, embora seus nomes ainda não tenham sido divulgados.

Para onde foi o dinheiro?

As investigações indicam que R$ 270 milhões foram canalizados para a fintech Sofi, onde os criminosos tentaram converter os valores em criptomoedas. A Sofi, que surgiu como Banco Agios e já trocou de donos diversas vezes, é alvo de centenas de reclamações e carece de estrutura para movimentar somas tão altas.

Apesar de parte do valor estar sendo recuperada, grande parte do montante ainda está desaparecida, e o caminho completo do dinheiro permanece desconhecido.

Por que um operador de TI recebeu apenas R$ 15 mil?

João Nazareno Roque, programador júnior da C&M, confessou que vendeu sua credencial por apenas R$ 15 mil — valor irrisório frente aos milhões desviados. Especialistas consideram a quantia suspeita e incompatível com o tamanho da fraude, sugerindo que Roque pode estar escondendo o real benefício que obteve.

Quantas pessoas estão envolvidas?

A Polícia Federal já identificou uma cadeia complexa de empresas e indivíduos envolvidos, configurando uma organização criminosa sofisticada. Há evidências de que pelo menos dez empresas participaram do esquema de lavagem de dinheiro e conversão dos valores desviados.

Como um funcionário tinha tanto acesso?

Uma das falhas mais graves reveladas até agora é a permissão dada a um funcionário de baixo escalão para acessar sistemas críticos. Com sua senha, João Roque não apenas abriu as portas aos criminosos, mas também instalou códigos maliciosos nas máquinas da C&M, facilitando o desvio de valores milionários.

O básico da cibersegurança foi ignorado?

As transações não foram interrompidas automaticamente, mesmo sendo incomuns. Isso levanta questionamentos sobre a falta de verificação em dois fatores, autenticação biométrica e assinaturas múltiplas para transações de grande porte. Especialistas consideram a falha “assustadora” e incompatível com padrões internacionais de segurança.

As regras do Banco Central são suficientes?

O Banco Central tem normativas para segurança cibernética, mas ainda não está claro se elas são suficientes para lidar com ameaças modernas, como ataques baseados em inteligência artificial. A descoberta do golpe partiu de um cliente, e não de um sistema de alerta do BC, o que sugere falhas graves de supervisão e auditoria.

Com um ecossistema cada vez mais dependente de intermediários tecnológicos, o caso exige uma revisão profunda da regulamentação e da fiscalização exercida sobre empresas como a C&M.


Com informações de G1    [PTG-AOI-20250708-1821-4OT]

Compartilhar: