Para onde foi o dinheiro? Qual o total roubado? O BC está atualizado? As perguntas não respondidas sobre o ataque hacker
08/07/2025
(Foto: Reprodução) Mais de R$ 500 milhões foram desviados das contas de reserva do banco BMP em pouco mais de duras horas durante a madrugada da última quarta-feira (2). No entanto, a quantia pode chegar a bilhões O ataque hacker que roubou bancos do Brasil
Na última quarta-feira (2), o Brasil foi palco do que já é chamado do maior ataque hacker já registrado contra seu sistema financeiro. Em uma madrugada, milhões de reais "escoaram" dos cofres virtuais de instituições financeiras, atingindo mais de R$ 500 milhões. Uma semana após a revelação do caso, algumas perguntas seguem sem respostas.
O ataque teve como alvo principal a BMP, uma fintech focada em crédito ao empresariado, e, crucialmente, a C&M Software, uma empresa de tecnologia que atua como intermediária, fazendo a ponte entre pequenos bancos e o coração do sistema financeiro brasileiro, o Banco Central, e o sistema de pagamentos instantâneos como o Pix.
A C&M é uma das poucas empresas credenciadas pelo Banco Central do Brasil para fornecer tal serviço, tendo acesso direto à rede do sistema financeiro nacional. O caso veio a público após a BMP, cliente da C&M, registrar um boletim de ocorrência sobre os desvios milionários.
É importante ressaltar que o dinheiro desviado pertencia às reservas das instituições financeiras, não afetando diretamente as contas dos clientes comuns. Também vale destacar que o ataque teve um "componente humano fundamental" dentro da C&M.
Confissão de suspeito preso por ataque hacker detalha esquema que desviou mais de R$ 540 milhões
Fantástico
Apesar das prisões e do início das investigações, muitas perguntas cruciais permanecem sem resposta:
Qual o valor total exato do prejuízo causado pelo ataque?
Quais outras instituições financeiras foram afetadas?
Para onde foi o restante do dinheiro desviado?
Por que o operador de TI recebeu apenas R$ 15 mil em um esquema de milhões?
Quantas pessoas ou empresas estão envolvidas no esquema criminoso?
Como um único funcionário administrativo tinha permissão para movimentar valores tão altos?
Os princípios básicos de cibersegurança estavam sendo aplicados?
As regulamentações de cibersegurança do Banco Central estão atualizadas?
Qual o valor total exato do prejuízo causado pelo ataque?
A estimativa é de que o prejuízo é de mais de R$ 500 milhõe, mas o valor exato não foi informado pelo Banco Central nem pela Polícia Federal e deve ser revelado apenas ao final das investigações.
O operador de TI João Nazareno Roque, preso por envolvimento no esquema, ouviu dos outros golpistas que o desvio total poderia chegar a R$ 1 bilhão. Especialistas acreditam que este pode ser o maior ataque do tipo no país, mas para ter uma confirmação, o valor final do desvio precisa ser confirmado.
Voltar ao índice.
Quais outras instituições financeiras foram afetadas?
A BMP foi a cliente da C&M que inicialmente reportou a movimentação anormal ao Banco Central. Embora a C&M seja uma das nove empresas credenciadas pelo Banco Central para atuar como intermediárias entre bancos e o sistema do Banco Central, pelo menos seis dessas nove empresas foram afetadas. No entanto, os nomes das outras instituições não foram oficialmente divulgados.
Voltar ao índice.
Para onde foi o restante do dinheiro desviado?
Sabe-se que cerca de R$ 270 milhões do montante desviado foram parar em uma fintech chamada Sofi, onde os criminosos tentaram convertê-los em criptomoedas, como o Bitcoin.
A Sofi, que nasceu em 2020 com o nome Banco Agios, teve quatro donos diferentes neste meio tempo e possui mais de 800 reclamações no site Reclame Aqui, não apresenta uma estrutura que justifique um aporte de valor tão grande.
As últimas informações indicam que estão conseguindo recuperar parte desse montante, mas o paradeiro do restante do dinheiro e o valor total ainda são desconhecidos.
Voltar ao índice.
Por que o operador de TI recebeu apenas R$ 15 mil em um esquema de milhões?
João Nazareno Roque, operador de TI de uma terceirizada da C&M, confessou ter vendido sua senha por R$ 15 mil. Especialistas em cibersegurança, como Micaela Ribeiro, afirmam que, no mercado clandestino, esse tipo de golpe é negociado entre R$ 50 mil e R$ 500 mil, um valor muito acima do que João teria recebido.
A desproporção entre o dinheiro pago e o golpe de pelo menos R$ 800 milhões (ou até R$ 1 bilhão) gera muita suspeita e é considerada sem sentido pelas investigações, levantando dúvidas sobre a negociação.
Voltar ao índice.
Quantas pessoas ou empresas estão envolvidas no esquema criminoso?
As investigações e o rastreamento das transações "expõem uma cadeia assustadora de envolvidos". A Polícia Federal abriu inquérito para apurar crimes como organização criminosa e lavagem de dinheiro. Pelo menos uma dezena de empresas pode estar envolvida em um "ecossistema paralelo de lavagem" que opera à margem das autoridades.
João Nazareno Roque disse que foi abordado por "outros golpistas", e o que ele ouviu sobre a espera para "repassar outros valores" após a "poeira baixar" indica a participação de mais criminosos e a continuidade do esquema.
Voltar ao índice.
O que você precisa saber:
Por que o ataque hacker a instituições financeiras é um dos mais graves já registrados no Brasil, segundo especialistas
HORÁRIO, BITCOIN, INSISTÊNCIA: as pistas que ajudaram a revelar ataque
SÃO PAULO: Polícia Civil prende suspeito de ataque hacker
DEPOIMENTO: Operador de TI preso foi abordado em bar
Como um único funcionário administrativo tinha permissão para movimentar valores tão altos?
O caso levanta questionamentos fundamentais sobre como um funcionário administrativo como João Nazareno Roque, que era programador júnior na C&M, tinha permissão de acesso com sua credencial para realizar transações de centenas de milhões de reais.
O fato de o golpe não ter sido "muito sofisticado" e ter se baseado na obtenção de uma credencial de funcionário que deu a "chave" de acesso aos criminosos, despertando uma "preocupação muito grande" sobre os poderes atribuídos a essa credencial.
João Nazareno não apenas forneceu o acesso, mas também ajudou na programação, instalando "códigos maliciosos" nas máquinas da C&M que viabilizaram o acesso indevido dos hackers.
Voltar ao índice.
Os princípios básicos de cibersegurança estavam sendo aplicados?
Uma das principais perguntas levantadas é se a credencial do funcionário envolvido possuía mecanismos de segurança adicionais, como biometria ou outros fatores de autenticação. Além disso, questiona-se se transações desse tipo exigiam múltiplas assinaturas (multisig), ou seja, a autorização não apenas de uma única pessoa, incluindo controladores financeiros e executivos, para serem completadas.
O fato de o sistema não ter disparado um alarme ou interrompido a transação logo no início, mesmo sendo uma movimentação "completamente anômala", sugere que esses princípios básicos de cibersegurança podem não ter sido aplicados ou foram insuficientes.
Voltar ao índice.
As regulamentações de cibersegurança do Banco Central estão atualizadas?
Embora o Banco Central possua normativos para a segurança digital, a questão é se eles estão atualizados para lidar com os problemas do mundo atual, incluindo ataques por inteligência artificial. Mais importante ainda, há dúvidas sobre como esses normativos estão sendo aplicados e auditados, tanto pelo Banco Central quanto pelas próprias instituições financeiras que dependem dos serviços de terceiros.
A falha em um alarme automático e a descoberta da movimentação anormal por uma cliente (BMP) que precisou alertar o Banco Central, levantam questões sobre a eficácia da supervisão e auditoria de segurança das empresas intermediárias.
Voltar ao índice.
