O Brasil acaba de testemunhar um dos maiores ataques cibernéticos de sua história recente, com impacto direto no setor financeiro e que escancara fragilidades de segurança, tanto no ambiente corporativo quanto na cultura interna das empresas.
O episódio envolveu a C&M Software, provedora de tecnologia que conecta instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente do Pix. Segundo apuração do mercado, cerca de R$ 1 bilhão foram desviados por hackers a partir do comprometimento de credenciais de clientes, o que permitiu o acesso às chamadas contas reserva — utilizadas para liquidação interbancária no Banco Central.
Serviços restabelecidos sob produção controlada
Após o incidente, que ocorreu na madrugada de segunda-feira, dia 30, a C&M Software informou, por meio de nota assinada pelo diretor comercial Kamal Zogheib, que os serviços foram restabelecidos com o aval do Banco Central, mas sob um regime de produção controlada. Segundo a empresa, medidas de reforço de segurança e auditorias independentes foram imediatamente adotadas, além da comunicação direta com os clientes afetados.
Embora a infraestrutura central do Pix não tenha sido comprometida, o episódio impactou pelo menos oito instituições, incluindo a BMP e a Credsystem. Estima-se que metade do valor desviado pertencia a uma única instituição cliente da C&M.
O Banco Central, em nota, confirmou o ataque, determinou o desligamento temporário das infraestruturas da prestadora de serviços e segue apurando o caso em conjunto com a Polícia Federal e a Polícia Civil de São Paulo.
Falta de cultura de segurança: problema estrutural
Mais alarmante que o ataque em si, os números revelam que o Brasil vive um cenário de despreparo interno generalizado quando o assunto é segurança digital:
- 42% dos trabalhadores brasileiros desconhecem as políticas de segurança digital de suas empresas, segundo pesquisa da Kaspersky;
- 7% das organizações sequer possuem políticas formalizadas sobre o tema;
- O uso de equipamentos pessoais no trabalho, o acesso a redes públicas sem proteção e o clique em links maliciosos seguem como práticas comuns entre os colaboradores.
Para Luciana Angelo, gerente de Risk Advisory da UHY Bendoraytes, o cenário não surpreende, mas exige ação imediata:
“Esse incidente com a C&M não é um caso isolado, mas o reflexo de um problema estrutural: falta de maturidade em gestão de riscos cibernéticos, especialmente na governança sobre fornecedores e na cultura interna das organizações. Segurança precisa ser uma prioridade estratégica, não apenas um tema técnico delegado ao time de TI.”
Ciberataques se multiplicam e os prejuízos extrapolam o financeiro
Dados divulgados pela CNN indicam que o Brasil registrou impressionantes 356 bilhões de tentativas de ataque cibernético em 2024. O alerta é reforçado pelo maior vazamento de dados da história, noticiado recentemente, com mais de 16 bilhões de senhas e credenciais expostas, incluindo informações de Google, Apple, Facebook, Telegram e até de serviços governamentais.
O impacto financeiro é apenas a ponta do iceberg. Segundo projeção da PwC, o custo médio de um ciberataque pode atingir US$ 5,3 milhões, sem contar os danos reputacionais, impactos em compliance e consequências legais.
Exemplos recentes internacionais evidenciam que Chief Information Security Officers (CISOs) estão cada vez mais na mira das autoridades. Nos EUA, o caso SolarWinds resultou em acusações formais contra o CISO por falhas de controles e omissão de riscos conhecidos. O episódio envolvendo a Colonial Pipeline, que paralisou o fornecimento de combustível em parte dos EUA, reforça que ciberataques podem comprometer a continuidade dos negócios de forma devastadora.
Segurança cibernética como pilar estratégico
Para Leonardo Lemes Fagundes, Diretor Executivo de Segurança Cibernética da Service IT, a proteção digital deve ser tratada como tema de conselho de administração e comitê executivo, não restrita a áreas técnicas:
“A omissão ao tema abre uma lacuna enorme para riscos. Em um mundo em que dados são ativos valiosos e os ataques estão cada dia mais sofisticados, a proteção contínua é uma necessidade estratégica.”
A maturidade em segurança cibernética envolve:
✔️ Programas robustos de governança e controles internos;
✔️ Auditorias periódicas e avaliações de riscos de fornecedores;
✔️ Treinamento contínuo de colaboradores e lideranças;
✔️ Testes de simulação de ataques, como phishing;
✔️ Planos de resposta a incidentes bem estruturados;
✔️ Investimento constante em tecnologia e processos alinhados às melhores práticas internacionais.
Conclusão: o custo da negligência pode ser insustentável
O caso C&M Software expõe, de forma dramática, a realidade do ambiente de negócios brasileiro: riscos cibernéticos são riscos estratégicos, capazes de comprometer reputação, finanças e até a sobrevivência de empresas.
Na UHY Bendoraytes, apoiamos organizações a desenvolver uma visão integrada e estratégica de gestão de riscos e segurança cibernética, com foco na proteção do negócio e no fortalecimento da cultura organizacional de segurança.
Você está pronto para enfrentar os riscos digitais com a seriedade que o cenário exige
