Falhas em banking as a service o alerta do caso C&M

No que pode se tornar o maior escândalo de segurança cibernética da história do setor financeiro brasileiro, uma falha na infraestrutura de uma empresa terceirizada expôs o risco sistêmico do modelo banking as a service (BaaS).

O ataque à C&M Software, parceira de diversas instituições financeiras e conectada ao Sistema de Pagamentos Brasileiro (SPB), levantou questões cruciais sobre a arquitetura, a governança e a confiança nesse ecossistema digital que movimenta bilhões de reais diariamente.

O que é Banking as a Service e como funcionava a C&M Software?

O conceito de banking as a service (BaaS) é a espinha dorsal de muitas fintechs e empresas que desejam oferecer serviços financeiros sem serem bancos. Por meio dele, instituições não financeiras usam APIs de provedores como a BMP ou a própria C&M para integrar funcionalidades bancárias como Pix, TED, boletos, DDA e liquidação interbancária.

A C&M Software atua como uma ponte tecnológica entre essas empresas e o Banco Central do Brasil, oferecendo meios de comunicação direta com os sistemas financeiros oficiais. Ao facilitar esse acesso via webservices e APIs, a empresa permitia que seus clientes operassem como se fossem instituições tradicionais, com contas de reserva no BC e integração com o SPB.

O que deu errado: a falha que custou R$ 1 bilhão

Na madrugada de 1º de julho de 2025, um grupo hacker acessou indevidamente credenciais de clientes da C&M, explorando fragilidades na mensageria do SPB. A brecha permitiu movimentações fraudulentas de alto volume, direcionando mais de R$ 1 bilhão para diferentes contas, com posterior tentativa de conversão dos valores em criptomoedas como USDT e Bitcoin.

O Banco Central confirmou o incidente e determinou o desligamento imediato da C&M do ambiente institucional, um procedimento drástico que evidencia a gravidade da situação. A BMP, uma das principais afetadas, operava com contas de reserva no BC via C&M e afirma que nenhum cliente final foi afetado, pois o ataque envolveu exclusivamente valores em sua conta de liquidação.

As fragilidades do modelo BaaS expostas pelo incidente

O caso expõe, com intensidade inédita, fragilidades estruturais no modelo BaaS, especialmente quando serviços críticos são terceirizados a empresas que, mesmo homologadas, podem operar com falhas graves de segurança. A seguir, os principais pontos críticos revelados:

1. Confiabilidade das integrações via API

APIs são poderosas, mas perigosas se mal gerenciadas. Uma autenticação mal implementada ou token vulnerável pode conceder acesso direto a sistemas críticos. O uso indevido de credenciais, como no ataque à C&M, é um alerta vermelho.

2. Falta de segregação de responsabilidades

Muitas instituições operam com responsabilidade diluída entre o prestador de serviço e o banco de fachada. O ataque mostra que quando algo dá errado, a linha entre culpados e vítimas se torna turva — e o sistema todo paga o preço.

3. Falta de observabilidade e resposta em tempo real

As movimentações foram detectadas tardiamente, e parte das conversões em criptoativos chegou a ser tentada com sucesso. Falta de mecanismos de resposta automática e observabilidade em tempo real prejudicaram a reação.

O que muda para o setor financeiro?

Este não é apenas um caso isolado. Trata-se de um marco regulatório e técnico para o futuro do banking as a service no Brasil. Algumas consequências prováveis incluem:

• Revisão urgente da regulação de prestadores BaaS conectados ao SPB
• Maior rigor na homologação de empresas como a C&M
• Exigência de observabilidade contínua via logs em tempo real para o BC
• Monitoramento de integrações com exchanges cripto que operam via Pix
• Criação de uma certificação de cibersegurança para infraestruturas críticas

O papel das criptomoedas: lavagem ou inovação?

A tentativa de conversão em criptoativos reacende o debate sobre a interface entre cripto e finanças tradicionais. Plataformas como exchanges, mesas OTC e gateways com Pix foram utilizadas para tentar converter os valores roubados em ativos difíceis de rastrear.

Apesar disso, algumas empresas conseguiram bloquear a operação, indicando que os mecanismos de compliance e detecção de fraudes estão evoluindo. O desafio é estruturar uma regulação que iniba a lavagem sem sufocar a inovação.

E agora? Como proteger sua infraestrutura bancária

Para CTOs, CISOs e líderes de produtos financeiros, as lições são claras:

• Crie camadas de autenticação múltipla para todas as integrações
• Exija logs com redundância e alertas automáticos
• Use análise comportamental para detectar padrões suspeitos
• Implemente sistemas de kill switch para desativar credenciais comprometidas
• Audite seus parceiros de tecnologia com frequência

Como evitar outro ataque como o da C&M no futuro?

Este ataque pode ser lembrado como o maior da história do sistema financeiro nacional. Mas também pode se tornar o catalisador de mudanças profundas em segurança, responsabilidade e regulação no ecossistema financeiro.

Empresas de tecnologia bancária precisam tratar segurança como prioridade absoluta — não apenas como item de checklist.

Dúvidas Comuns sobre falhas em banking as a service

1. O que é banking as a service?

É um modelo onde empresas terceiras oferecem infraestrutura para que outras companhias, mesmo não financeiras, ofereçam serviços bancários como contas, Pix e TED.

2. A C&M Software era responsável pelo ataque?

Não. A empresa afirma ser vítima direta da ação criminosa, que usou credenciais indevidas de seus clientes.

3. O Banco Central foi hackeado?

Não. O ataque ocorreu na infraestrutura da C&M, não nos sistemas diretos do Banco Central.

4. Os clientes da BMP foram prejudicados?

Segundo a empresa, nenhum cliente foi afetado. O ataque envolveu apenas recursos da conta de reserva da BMP no BC.

5. Como o dinheiro foi movimentado?

Por meio de plataformas cripto e Pix, os valores foram transferidos tentando conversão para USDT e Bitcoin.

6. Por que a C&M foi desconectada?

Para evitar novos acessos indevidos e proteger o sistema financeiro, o BC determinou o desligamento imediato.

7. Isso afeta minha conta bancária?

Não diretamente. O incidente envolveu infraestrutura entre instituições financeiras e o BC, não contas pessoais.

8. O que o Banco Central fará agora?

Investiga o caso junto à Polícia Federal e pode rever normas e certificações para prestadores de serviços.

9. O que as fintechs devem fazer?

Revisar todas as integrações, autenticações, segurança e logs. A auditoria contínua se torna ainda mais essencial.

10. Qual o impacto para o setor?

Enorme. Pode levar à redefinição do modelo BaaS, novas regulações e elevação dos padrões mínimos de segurança.

Acompanhe o Casa do Dev para mais atualizações

Este caso mostra que a tecnologia precisa andar junto com responsabilidade e segurança.

Continue acompanhando o Casa do Dev para entender os impactos, tendências e boas práticas que moldam o futuro da infraestrutura bancária e da segurança digital.

Nos siga no Instagram e redes sociais: @casadodev

Se você quer se especializar em programação, invista em um curso completo. Indico este Pacote Fullstack, ele é um curso completo e vai te ajudar a aprender do zero, aumentando suas habilidades es práticas que o mercado procura.

Comece do absoluto zero e prepare-se para o mercado de trabalho com um curso que vai te ensinar desde lógica de programação até criar projetos e colocar no GitHub!

Veja nossas indicações de cursos de programação que compartilhei para ajudar em sua carreira, e também participe do nossos grupos da Casa do Dev.

Espero que você tenha achado interessante de ler.
Ajude a manter nosso conteúdo, patrocine um conteúdo ou pague um cafézinho para este colega Dev que sempre busca compartilhar um pouco das experiências e conhecimento com vocês.
Chave PIX: [email protected]

Fiquem bem.

Cirino,
Casa do Dev
Criador de conteúdo Tech e fundador da Casa do Dev

[ Instagram ] https://instagram.com/casadodev
[ Twitter ] https://x.com/casadodev
[ Home ] https://casado.dev