Patrocínio:
Ataque hacker: roubo de R$ 1 bilhão era evitável, segundo executivo (Divulgação)
Editor do Future of Money
Publicado em 3 de julho de 2025 às 17h30.
Responsável por liderar a empresa que garante a criptografia do Pix, Marco Zanini afirma que o ataque hacker recente que atingiu contas reserva no Banco Central e pode ter desviado R$ 1 bilhão era "100% evitável". O CEO da Dinamo Networks afirma que o caso é emblemático e deixa lições claras para evitar novos roubos.
Em entrevista à EXAME, Zanini explicou que a estratégia adotada pelos criminosos aparentemente não foi avançada, e o roubo reflete muito mais uma falta de preparo da C&M Software, empresa que faz a "ligação" entre instituições financeiras e os sistemas do Banco Central. Ele destaca, ainda, que o caso não teria ocorrido se o Drex já estivesse em funcionamento.
Ao resumir o ataque que atingiu a C&M Software em uma palavra, Zanini é categórico: "Negligência". "Quando o assunto é cibersegurança, muitas empresas têm negligenciado os riscos, até por não conviverem com eles todo dia. Temos fraudes menores, mas algo institucional como esse não".
"Os bancos tradicionais tem uma cultura de prevenção muito forte, mas muitas empresas, em especial fintechs, não. Esse mercado mais novo, de fornecedores para fintechs e as próprias fintechs, é um pouco negligente com a segurança porque acha que não vão ter problemas", resume.
Zanini destaca que fraudes no digital são diferentes das do mundo físico. Quando o carro é roubado, há uma percepção imediata do prejuízo e da ação. Já no digital, "a percepção só vem quando tem um efeito, e nesse caso foram todas as transferências, mas ninguém quando efetivamente os arquivos foram roubados".
A partir das informações disponíveis sobre o caso, Zanini diz que ele "poderia ter sido 100% evitado, mas por algum motivo não foi".
O CEO explica que a C&M é uma das PSTI, empresas que fornecem serviços de tecnologia da informação. Elas são credenciadas pelo Banco Central para fazer a conexão entre instituições financeiras e o BC. "Os bancos tradicionais têm uma conexão direta, mas é uma infraestrutura cara, exige volume para valer a pena. As fintechs usam as PSTIs, e temos sete no Brasil".
"Algumas têm uma infraestrutura de proteção para evitar problemas, nesse caso parece que não tinha", afirma. Zanini comenta ainda que os criminosos se aproveitaram de uma lógica inerente ao Pix: cada transação tem uma "assinatura" ao ser enviada ao BC que permite a identificação da instituição financeira de origem.
"Nesse caso, houve um roubo de credenciais de alguns clientes e o fraudador se apresentou no BC com a assinatura do banco. A custódia dessas chaves é extremamente importante, tem que ser feita em um lugar seguro, com uma autenticação de acesso. Um compliance que já é consagrado no mercado e recomendado pelo BC. Aparentemente, nenhuma dessas regras foi cumprida. Não foi um ataque tão complexo assim", avalia.
Zanini acredita que o caso deve obrigar o Banco Central a transformar as recomendações de segurança em obrigações. "O BC apelou para o bom senso das empresas, mas agora vai vir uma regulação muito forte quanto à custódia de chaves. Nesse episódio específico, o pedido de transação circulou em uma rede fechada, teoricamente não deveria passar nada de alguém externo na rede, e essas credenciais garantem isso. Quando vaza a chave, desmonta um dos pilares dessa estrutura".
"Ou você obriga bancos e fintechs a fazer uma proteção efetiva das chaves ou coloca outros dispositivos de autenticação, mas no Pix isso seria um problema porque aí poderia aumentar o tempo de processamento", destaca.
O CEO da Dinamo Networks ressalta ainda que o caso teria sido muito diferente se o Drex - criação de uma infraestrutura digital semelhante à tecnologia blockchain - já tivesse sido implementado. "Se tivesse acontecido em uma rede Drex, o episódio seria 100% reversível, porque rastrearia o caminho dela e chegaria à origem e ao destino".
Os criminosos chegaram a converter os fundos em criptomoedas, incluindo o bitcoin, mas usaram blockchains públicos. Com isso, é até possível rastrear o caminho desses ativos, mas não identificar os responsáveis ou reverter as operações.
Apesar de todo o prejuízo, Zanini acredita que o caso deixa uma "lição muito boa" e que vai incentivar a criação de mecanismos de segurança para controle e rastreio. Será, ainda, uma forma de "dividir quem fez ou não a lição de casa". E, destaca, "aqueles que não fizeram estão vulneráveis a ataques como esse".
O CEO da Dinamo Networks defende que "o mercado tem que começar a ler a sério que segurança no meio financeiro é cada dia mais importante. Na hora que o dinheiro digital estiver rodando com chaves, um token, o essencial vai ser a proteção desses dados. Se as instituições não acreditaram nisso, a gente vai ter recorrência de ataques".
Zanini lembra que o setor financeiro também precisa se preparar para o avanço da computação quântica, que promete quebrar muitas das criptografias usadas hoje para proteger dados e sistemas. Entretanto, pontua que nem todo dado precisará ter um grau de proteção reforçado.
"A vantagem é que tem um algoritmo forte, que resiste a ataques de máquinas quânticas, que ainda não são de larga escala. Mas se vai criptografar uma informação que pode durar cinco, dez anos, é importante que já pense nisso, porque daqui a dez anos o computador quântico pode ser uma realidade massificada", explica.
Já no caso de uma transação financeira,"que é rápida, de segundos, se usa criptografia quântica tem um efeito colateral ruim, porque o tamanho de chave é bem maior, e aí fica mais lenta. Pode ir de 23 mil transações por segundo pra 100, porque os computadores que processam não são quânticos".
Para o executivo, "o mundo está caminhando para duas disciplinas de cibersegurança". A primeira é desenvolver uma "sofisticação cada vez maior da identidade digital", com mais mecanismos e processos para garantia de segurança no acesso de bancos, sites e outros serviços, indo além do "nome e senha".
A segunda é o "sigilo de informação", seja na robustez de proteção para dados armazenados, criptografados e anonimizados ou no tráfego de informações, que também precisarão estar criptografadas. "São os dois pilares que levam a todo o resto, é onde precisa ter mais eficiência. Esse ataque de agora, por exemplo, foi uma quebra de identidade", explica.
Siga o Future of Money nas redes sociais: Instagram | X | YouTube | Telegram | TikTok