Pedro de Menezes Carvalho[1]
Uma notícia chamou a atenção do Brasil e do mundo esta semana: o suposto “roubo” de R$ 1 bilhão no Banco Central do Brasil (BCB). Passados alguns dias e após refletir com mais calma sobre o ocorrido, sinto-me mais confortável para compartilhar uma análise técnica, mas acessível, sobre o tema. Muitos amigos e clientes me procuraram assustados, temendo pela segurança do Sistema Financeiro Nacional. A primeira mensagem que deixo é: calma. O Sistema Financeiro segue seguro e, na verdade, o “roubo” não aconteceu diretamente no Banco Central. Vamos entender.
Trata-se do maior desfalque financeiro já registrado no país e um dos maiores do mundo. O ataque ocorreu contra a empresa de tecnologia C&M Software, que presta serviços a bancos e fintechs, funcionando como uma ponte entre essas instituições e o Sistema de Pagamentos Brasileiro (SPB). Essa empresa oferece o chamado “Banking as a Service”.
Vou explicar o que é um Banking as a Service (BaaS): trata-se de um modelo de negócios em que instituições financeiras licenciadas fornecem serviços bancários para outras empresas, permitindo que estas ofereçam produtos financeiros aos seus clientes como se fossem bancos. Isso inclui contas digitais, cartões e transferências dentro de seus próprios aplicativos e plataformas. Assim, empresas de setores diversos como varejo, tecnologia ou turismo conseguem oferecer uma experiência financeira personalizada aos seus usuários.
Como exemplo, cito o Mercado Pago (ou o 99pay): Embora seja conhecido como uma carteira digital, o Mercado Pago oferece conta digital, cartão de crédito e débito, Pix e empréstimos. Porém, o Mercado Pago não é um banco tradicional ele utiliza infraestrutura de parceiros bancários que fornecem os serviços financeiros através do modelo de BaaS.
A C&M Software atua exatamente nesse segmento, possibilitando a comunicação e a liquidação financeira entre bancos, fintechs e o SPB, inclusive no processamento de pagamentos via Pix, TED e Débito Direto Autorizado (DDA).
Os hackers invadiram os sistemas da C&M Software e, a partir daí, conseguiram acessar contas reservas de instituições financeiras mantidas junto ao Banco Central. Essas contas, chamadas “contas reserva”, são contas interbancárias que bancos e instituições financeiras precisam manter no BCB para realizar transferências entre si via o Sistema de Transferência de Reservas (STR). Nenhum cidadão comum ou empresa privada (exceto as autorizadas) possui conta no Banco Central.
Quando, por exemplo, um cliente do banco A transfere recursos para um cliente do banco B, além do débito e crédito nas contas correntes dos clientes, existe uma movimentação correspondente nas contas reserva dos respectivos bancos no Banco Central. Esse sistema assegura que o fluxo de dinheiro entre bancos seja contabilmente equilibrado.
Os hackers conseguiram movimentar essas contas, desviando recursos e transformando os valores em criptomoedas, especialmente Bitcoin e USDT (Tether).
O USDT é uma stablecoin, ou seja, uma criptomoeda criada para manter seu valor estável, sempre atrelado ao dólar americano — cada unidade de USDT equivale a aproximadamente 1 dólar. Ao contrário de criptomoedas como Bitcoin ou Ethereum, que sofrem grandes variações de preço, o USDT foi desenvolvido justamente para oferecer estabilidade e segurança cambial, o que o torna amplamente utilizado em transações financeiras rápidas, pagamentos internacionais e movimentações entre exchanges, permitindo que os usuários protejam seu dinheiro das oscilações comuns no mercado de criptoativos. Ao invés de transferir dólares, a operação é feita com USDT.
Conversão de recursos em cripto foi estratégica
A conversão dos recursos em criptoativos se deu porque seria praticamente impossível movimentar ou sacar tais valores através do sistema bancário tradicional sem levantar suspeitas. As criptomoedas, ao serem usadas de forma correta, oferecem segurança e transparência. Aliás, foi justamente uma Exchange de criptomoedas, ao detectar uma movimentação atípica, que identificou e bloqueou parte das operações suspeitas, emitindo alertas às autoridades.
Antes de continuar, para facilitar o entendimento, vamos conceituar alguns termos:
- Mesa OTC (Over-the-Counter): Trata-se de uma modalidade de compra e venda de grandes volumes de criptomoedas realizada fora das exchanges tradicionais. Essas transações são diretas entre comprador e vendedor, com apoio de intermediários especializados, oferecendo mais privacidade e maior liquidez. Fazendo uma comparação, é como ao invés de ir em uma casa de câmbio comprar dólar, você irá comprar diretamente de uma pessoa; a diferença é que a operação ocorrerá de modo on-line.
- Gateway de Pagamento: É um serviço que permite a realização de pagamentos online de forma segura, funcionando como intermediário entre vendedor, cliente e instituição financeira. Permite, por exemplo, compras em e-commerce usando cartões, boletos ou Pix. Quando você faz um PIX no supermercado, essa operação só pode ocorrer pela existência de um gateway.
- Exchange: São as plataformas digitais onde se compram e vendem criptomoedas. As exchanges possuem sistemas de compliance e segurança avançados, e no caso em análise, foram fundamentais para conter parte do ataque.
Continuando, agora falar um pouco sobre os caminhos do dinheiro e a reação do Sistema. Após acessar os recursos, os hackers começaram a movimentar o dinheiro para exchanges, gateways e mesas OTC, convertendo rapidamente os valores em Bitcoin e USDT. Essas operações iniciaram por volta da meia-noite do dia 30 de junho, um horário incomum que despertou suspeitas nos sistemas de segurança das exchanges. Algumas operações foram bloqueadas e os recursos acabaram devolvidos às instituições financeiras de origem.
Essa resposta automática só foi possível porque as exchanges de criptomoedas contam com protocolos de segurança e detecção de atividades incomuns medidas tão ou mais rígidas que as do sistema bancário tradicional.
No Sistema Financeiro Nacional, as instituições são obrigadas a ter “travas de volumetria”, que são mecanismos que bloqueiam automaticamente transferências acima de certos valores ou realizadas em horários atípicos. Contudo, essas travas não foram acionadas neste caso, o Banco Central ainda deve esclarecer se essas travas falharam, não se aplicam ou sequer existiam para esse tipo de movimentação.
Este episódio levanta um debate crucial sobre a segurança das conexões entre instituições financeiras, especialmente em um cenário onde se discute a adoção de moedas digitais emitidas pelo próprio Banco Central. Se todos os CPFs e CNPJs estivessem conectados diretamente ao BCB, como seria a gestão de riscos e a proteção contra-ataques cibernéticos?
O que se destaca positivamente neste caso foi a atuação das exchanges de criptomoedas, que conseguiram bloquear grande parte das operações suspeitas, devolvendo recursos e evitando um prejuízo ainda maior.
Não há motivo para pânico. O Sistema Financeiro Nacional permanece sólido e seguro. O que aconteceu foi um ataque sofisticado contra uma empresa intermediária que, infelizmente, expôs uma vulnerabilidade. O debate sobre segurança digital, criptomoedas e o futuro do sistema financeiro deve ser ampliado e precisamos cada vez mais de um olhar técnico e responsável sobre o assunto.
[1] Pedro de Menezes Carvalho é advogado e professor universitário com mestrado em Direito pela UFPE. Especialista em Contratos pela Harvard University e em Negociação pela University of Michigan. Advogado na área de Regulação, Negócios, Energia e Financeira. Experiência destacada na docência na UNICAP, IBMEC e PUCMinas.
Leia também:
AL tem projeto de R$ 15 mi aprovado para expandir Centro de Inovação
Por R$ 15 mil, técnico vende acesso a ataque hacker de R$ 800 milhões
Planejamento financeiro e seguros: pilares de uma vida estável e longeva
