O que parecia mais um dia comum para o setor financeiro brasileiro virou manchete no ecossistema de tecnologia e inovação. Hackers exploraram uma brecha crítica em um prestador de infraestrutura de pagamentos e desviaram mais de R$ 1 bilhão, em um ataque que expôs fragilidades no modelo de banking as a service (BaaS). O alvo principal foi a fintech BMP, que perdeu R$ 400 milhões em menos de 24 horas. O caso levanta uma questão urgente: até onde o avanço dos serviços financeiros digitais pode ir sem que a segurança acompanhe?
O que aconteceu
O ataque teve como ponto de entrada a empresa C&M, responsável por integrar instituições financeiras ao sistema do Banco Central. Foi por meio dessa infraestrutura que os criminosos conseguiram emitir ordens de pagamento via PIX com aparência legítima. O resultado: centenas de milhões de reais transferidos sem autorização e um rombo bilionário em questão de horas.
O primeiro sinal de que algo estava errado veio com um PIX de R$ 18 milhões. Um executivo da BMP estranhou a movimentação e acionou a equipe de segurança. Em poucas horas, veio a confirmação de que R$ 400 milhões haviam sido desviados da conta da empresa. No total, considerando outras instituições afetadas, o prejuízo superou R$ 1 bilhão.
Por que isso importa
O modelo BaaS vem ganhando força no Brasil. Ele permite que empresas ofereçam serviços bancários completos sem precisarem ser bancos, utilizando plataformas especializadas e intermediários técnicos. Mas esse ataque deixou claro que agilidade e eficiência não podem andar sozinhas. A ausência de barreiras adicionais permitiu que ordens automatizadas fossem executadas sem filtros, expondo brechas que não são apenas técnicas, mas estratégicas.
Fontes ligadas à investigação afirmam que o sistema de segurança da C&M tratou as transações como válidas, como se fossem feitas com “chip e senha corretos”. Não houve travas, nem checagens adicionais. Resultado: os valores foram enviados e sacados com rapidez, deixando pouco tempo para reação.
Reação do mercado e impacto na BMP
Apesar do impacto, os clientes da BMP não foram afetados. A empresa mantinha colaterais em custódia e garantiu a integridade dos saldos. Até o momento, cerca de R$ 130 milhões foram recuperados. Internamente, no entanto, a fintech sofreu um abalo na sua base de liquidez, antes estimada em R$ 600 milhões, agora ameaçada caso parte dos recursos não seja restituída.
O Banco Central agiu rapidamente e suspendeu a conexão da C&M, que também pausou temporariamente as operações de seus clientes. Reuniões emergenciais com o regulador estão em andamento, e o caso já motivou uma revisão completa nos protocolos de segurança envolvendo prestadores de serviços de infraestrutura financeira.
O ponto de virada para o BaaS
O episódio representa mais que um incidente pontual. Para muitos analistas, este foi um teste de estresse real para o ecossistema de banking as a service. A expansão desse modelo depende de confiança, e confiança só se mantém com segurança em tempo real, monitoramento inteligente e resiliência estrutural.
Fintechs, PSTIs e plataformas de pagamentos precisarão adotar novas camadas de autenticação, reforçar a análise de comportamento transacional e revisar sua governança técnica. Não basta apenas operar sob as normas do Banco Central. A inovação precisa ser protegida, e este ataque serviu como um lembrete contundente.
O que fica para o setor de tecnologia
O caso da BMP escancarou um tema que já circulava nos bastidores do setor: a urgência de amadurecer a segurança cibernética dentro do open finance. Modelos que escalam rápido, conectam APIs sensíveis e dependem de integrações automatizadas exigem vigilância constante e arquitetura robusta.
Se o Brasil quiser seguir como referência em soluções financeiras digitais, será preciso garantir que cada ponto da cadeia, da fintech à infraestrutura, esteja blindado contra ações maliciosas. A próxima grande inovação pode estar na forma como protegemos o que já foi conquistado.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI, Telecom e Cibersegurança!
