Em um incidente sem precedentes no setor de tecnologia, a prestadora de serviços C&M sofreu um ataque cibernético. Essa investida hacker comprometeu a segurança de mais de 1 bilhão de contas transacionais de instituições financeiras. O ataque levanta preocupações sobre a vulnerabilidade das infraestruturas digitais que sustentam as operações bancárias e financeiras. O Banco Central confirmou o ataque hoje, 2 de julho, mas não ofereceu mais detalhes.
Entretanto, o Banco Central afirmou, em comunicado, que ordenou à C&M que bloqueasse o acesso das instituições financeiras à infraestrutura que opera.
“A C&M Software foi alvo de uma ação criminosa que envolveu o uso indevido de credenciais de clientes na tentativa de acessar fraudulentamente seus sistemas e serviços.” Essa foi a afirmação do diretor comercial da empresa, Kamal Zogheib, em comunicado à Reuters. Ademais, ele explicou que a CMSW está colaborando ativamente com as autoridades competentes. Isso inclui o Banco Central e a Polícia Civil de SP, nas investigações em curso.
Ataques
De acordo com o Mapa de Empresas do Governo Federal, existem 23,5 milhões de empresas ativas no Brasil. Somente em maio deste ano, foram criados 418 mil novos CNPJs. Apesar de atuarem em diversos setores econômicos e variarem em porte – micro, pequenas, médias ou grandes – todas compartilham uma vulnerabilidade em comum. Elas são alvo de ataques cibernéticos, independentemente do porte ou segmento.
O site do Banco Central, por exemplo, possui um registro atualizado com incidentes de dados pessoais.
Quando um ataque hacker ocorre, em primeiro lugar, as operações da empresa são comprometidas. Por consequência, o ataque pode resultar em prejuízos financeiros. Ademais, há o risco de vazamento de dados sensíveis de clientes, parceiros e funcionários. Não é surpresa que essas ameaças sejam uma das principais preocupações para líderes empresariais em todo o mundo. Prova disso está no estudo, o “The Global Future of Cyber Survey“, da Deloitte. O material aponta que cerca de um em cada 7 executivos e profissionais de segurança cibernética perderam a confiança na integridade dos sistemas após um incidente.
O incidente suscita um debate mais amplo sobre a regulamentação de segurança cibernética nos setores bancário e financeiro. Essa é a visão de Victor Jorge, professor convidado do MBA in company da Fundação Getulio Vargas (FGV). Victor, membro da Comissão Especial de Segurança Privada da Ordem dos Advogados do Brasil, Seção São Paulo. Ademais, o assunto ganha destaque a partir do ponto “falta de segregação de custódia“.
Falta de segregação de custódia refere-se à ausência da prática de separar as responsabilidades de diferentes pessoas dentro de um processo, especialmente em relação à guarda e controle de ativos ou informações. Trata-se de uma prática fundamental para evitar erros, fraudes e conflitos de interesse, garantindo a segurança e a integridade das operações.
E se o ataque fosse cripto?
“Vamos imaginar como seria se um ataque desse tipo ocorresse em uma corretora de cripto. O patrimônio dos investidores ficaria totalmente exposto, sem qualquer proteção eficaz entre os ativos da corretora e os dos clientes – uma situação que, infelizmente, ainda é comum na maioria das exchanges no Brasil e no exterior”, explica o professor.
Após incidentes dessa natureza, é comum que os produtos do crime se dissipem rapidamente, movendo-se do sistema financeiro tradicional para exchanges, swaps e outras instituições. O intuito é converter o real em criptoativos, o que complica a recuperação e a rastreabilidade dos valores. É fundamental ressaltar que, embora os criptoativos sejam utilizados como métodos para ocultar recursos, as etapas anteriores – como transferências via Pix ou TED – deixam evidências bancárias claras. “As empresas que comercializaram criptoativos para esses criminosos, sem adotar as devidas diligências de KYC/AML (processos de segurança, especialmente instituições financeiras, para garantir a segurança e a conformidade regulatória), podem ser responsabilizadas civil e penalmente, principalmente se provar que atuaram com dolo eventual ou negligência significativa”, aponta o especialista.
Quem é a C&M?
A C&M é uma empresa que presta serviços para instituições provedoras de contas transacionais que não possuem meios de conexão própria. Fundada em 1992, a C&M Software é a companhia responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) – o que engloba o ambiente de liquidação do Pix, sistema de transferências e pagamentos instantâneos criado pelo Banco Central (BC) em 2020 e amplamente utilizado pelos brasileiros. O principal foco de atuação da empresa é o desenvolvimento de soluções para operações no ecossistema de pagamentos instantâneos.
