Ataque cibernético

O recente ataque cibernético que resultou em um prejuízo estimado em mais de R$ 1 bilhão aos cofres do sistema financeiro brasileiro é mais do que um episódio isolado: é o retrato escancarado da vulnerabilidade das instituições nacionais — públicas e privadas — diante da guerra digital contemporânea.

A invasão, revelada em julho de 2025, teve como ponto central a empresa C&M Software, responsável por integrar sistemas de pagamentos entre fintechs e o Banco Central do Brasil. O acesso foi facilitado por um simples técnico de informática que, por míseros R$ 15 mil, entregou suas credenciais a hackers. A partir disso, os criminosos acessaram contas reservas de diversas instituições financeiras, provocando perdas milionárias em empresas como a BMP Money Plus e rompendo a confiança no funcionamento dos sistemas que deveriam ser os mais protegidos do país.

É espantoso perceber que tamanha brecha não foi causada por uma falha sofisticada de engenharia cibernética, mas sim por negligência elementar em processos de segurança e ausência de controles básicos. Um técnico de nível operacional possuía acesso privilegiado a dados sensíveis e recursos de alto valor — fato que por si só já viola qualquer diretriz de governança, compliance ou boas práticas em segurança da informação.

O caso, apesar de chocante, está longe de ser um ponto fora da curva. Ele apenas reafirma o que especialistas em cibersegurança alertam há anos: a maior parte dos ataques parte de dentro das instituições, com o envolvimento direto ou indireto de agentes internos que, por falha humana, omissão ou má-fé, abrem as portas para agentes mal-intencionados. É como entregar a senha do cofre ao assaltante e se surpreender com o roubo.

Mais grave ainda é constatar que a fragilidade não está restrita ao setor financeiro. Governos federal, estaduais e municipais, além de órgãos como Tribunais de Justiça, Tribunais de Contas, Ministérios Públicos e autarquias em geral, seguem operando com estruturas digitais frágeis, sistemas desatualizados e ausência de protocolos efetivos de proteção. A maioria das instituições públicas no Brasil ainda adota uma postura analógica diante de uma realidade digital que avança exponencialmente, ignorando deliberadamente soluções tecnológicas testadas e validadas em todo o mundo.

A crença equivocada de que “não vai acontecer comigo” persiste entre gestores públicos e privados, como se a guerra cibernética fosse ficção científica. Mas a ficção virou realidade — e com consequências devastadoras. O prejuízo financeiro é apenas uma parte do problema. Há também perdas reputacionais, paralisações de serviços essenciais, vazamento de dados pessoais de milhões de cidadãos e, sobretudo, o comprometimento da confiança institucional.

Não há mais espaço para omissão. A Autoridade Nacional de Proteção de Dados (ANPD), criada justamente para fiscalizar e aplicar a Lei Geral de Proteção de Dados (LGPD), precisa agir com firmeza. A LGPD está em vigor há mais de seis anos, e sua eficácia depende da imposição de sanções às instituições que continuam tratando a segurança da informação como uma formalidade burocrática, em vez de pilar estratégico.

O ataque recente é um alerta. Mas, se nenhuma providência for tomada, deixará de ser exceção para se tornar regra. É preciso mudar a cultura organizacional, rever políticas internas, treinar equipes, investir em sistemas robustos de defesa e garantir, em todos os níveis de governo e empresas, que o digital seja tratado com a mesma seriedade que se exige na gestão do dinheiro público.

Enquanto isso não acontece, continuaremos assistindo a tragédias anunciadas — que custam caro ao país e expõem a população aos riscos de uma era digital que não perdoa a negligência.

Oscar Soares Martins é consultor e especialista em cybersegurança e em IA.