08 de julho, de 2025 | 07:00

Hacker ou falência sistêmica? Especialista destaca que ataque de R$ 1 bi ao BC expõe vulnerabilidade estrutural do Brasil digital

Eduardo Maurício *

O ataque hacker que resultou no desvio de R$ 1 bilhão de instituições financeiras vinculadas ao Banco Central do Brasil, informada publicamente dia 2/7, expôs vulnerabilidades na cadeia digital de pagamentos, levantando debates sobre a segurança de softwares terceirizados e o papel das criptomoedas na lavagem de dinheiro. De acordo com as investigações iniciais, os valores desviados foram rapidamente convertidos em criptoativos como Bitcoin (₿) e USDT (₮), dificultando o rastreamento e a recuperação dos recursos.

A conversão retira o capital ilícito do sistema financeiro brasileiro, que é centralizado e onde cada real é rastreável à um CPF ou CNPJ, e o transporta para um ecossistema financeiro global e sem fronteiras. Essa movimentação não impossibilita o rastreamento, mas o transforma. A trilha do dinheiro se torna pública e permanente na blockchain, permitindo que analistas sigam cada fração de moeda.

A recuperação se torna exponencialmente mais difícil. Uma vez que os ativos estão em uma carteira privada, a apreensão depende da obtenção física ou digital das chaves, um feito extremamente complexo. Sendo essenciais para acessar e transferir os ativos, as senhas são únicas e secretas, fazendo com que a medida de proteção seja crucial para a segurança, tornando a obtenção desses dados um processo bastante delicado.

O ataque hacker também levanta questionamentos sobre a responsabilidade da C&M Software, empresa que fornece a tecnologia utilizada na infraestrutura do sistema afetado. Diante da repercussão, Eduardo explica que a empresa pode ser responsabilizada cível e administrativa. Uma falha que permite um desvio dessa magnitude configura uma quebra severa desse dever, abrindo precedente para que as instituições financeiras lesadas busquem reparações civis por todos os danos e perdas. Do ponto de vista administrativo, o Banco Central, como órgão regulador, certamente instaurará um processo para avaliar as falhas de governança e segurança, que pode culminar em multas pesadas.

“O caso revela colapso de um modelo jurídico incapaz de rastrear e recuperar recursos em um ecossistema financeiro global sem fronteiras”

Uma das ferramentas utilizadas para conter parte do prejuízo foi o Módulo Especial de Devolução (MED) do PIX, que conseguiu recuperar os recursos ainda não convertidos. No entanto, o especialista ressalta que o alcance do MED é limitado. Contudo, o MED tem uma fronteira clara: ele perde totalmente a sua força quando os Reais são trocados por criptoativos e sacados para fora das exchanges.

As investigações enfrentam um cenário de desafios legais e operacionais severos. Para Eduardo Maurício, o maior entrave jurídico é a complexidade das jurisdições envolvidas, já que a obtenção de provas digitais depende de tratados de cooperação internacional, que são processos burocráticos e lentos, diferente disso é o movimento dos criminosos, que ocultam e transferem os ativos com muita velocidade. O crime ocorre no Brasil, mas os criminosos podem operar de qualquer lugar do mundo, usando servidores em uma jurisdição e exchanges em outra, criando um labirinto jurídico.

Além disso, a operação revela crimes graves previstos na legislação brasileira. De acordo com o especialista, os golpistas podem responder por uma série de infrações de alta gravidade, somados à magnitude do impacto econômico causado. O ato principal, é o de furto qualificado mediante fraude eletrônica, viabilizado pela invasão de dispositivo informático. Além disso, outros delitos como lavagem de dinheiro, organização criminosa e associação criminosa podem ser contabilizados. Em uma eventual condenação, as penas destes delitos serão somadas, resultando em uma sentença de décadas de reclusão, compatível com a magnitude do dano causado.

A Polícia Civil de São Paulo já iniciou as movimentações contra os criminosos e, dia 3/7 prendeu um dos suspeitos de facilitar a entrada dos hackers no sistema da C&M Software. Um dos funcionários da empresa de software, João Nazareno Roque, foi preso por conceder o acesso para os golpistas acessarem o sistema sigiloso através da sua máquina. Diante do ocorrido, o Banco Central suspendeu parcialmente o acesso das instituições financeiras afetadas pelas operações da C&M Software, e acompanha o risco sistêmico associado à transformação digital do setor.

* Advogado criminalista especializado em casos internacionais, mestre e doutorando em Direito pela Universidade de Salamanca

Obs: Artigos assinados não reproduzem, necessariamente, a opinião do jornal Diário do Aço