Invasão à C&M Software acelera revisão regulatória e pressiona provedores de infraestrutura a elevar padrões de segurança, em meio à expansão do sistema de pagamentos instantâneos
O ataque cibernético à C&M Software, revelado no início de julho, provocou uma reação rápida do Banco Central (BC) e colocou sob escrutínio as empresas responsáveis por conectar instituições financeiras ao ecossistema do Pix. Segundo apuração do InfoMoney, o BC iniciou uma rodada de consultas com companhias do setor para discutir protocolos de segurança e práticas operacionais, num esforço para mitigar riscos sistêmicos em um dos pilares da modernização financeira do país.
A expectativa é de que o episódio leve à elevação dos requisitos regulatórios e intensifique a fiscalização sobre os Provedores de Serviços de Tecnologia da Informação (PSTIs) — empresas que atuam como intermediárias tecnológicas entre instituições financeiras e a Rede do Sistema Financeiro Nacional (RSFN), por onde trafegam operações como o Pix.
Regulação mais rigorosa deve pressionar margens
O aumento das exigências regulatórias tende a impactar diretamente os custos operacionais dos PSTIs. “Se a regulação sobe, os custos sobem automaticamente”, resume Rafael Maia, head da Tivit Techfin — recentemente homologada como PSTI.
Embora o Pix continue gratuito para o usuário final, o serviço envolve custos relevantes para instituições e provedores. O modelo de negócios, que remunera os PSTIs com uma média de R$ 0,01 por transação, exige alta escala para viabilidade econômica e margens já são consideradas estreitas. Qualquer acréscimo no custo com segurança tende a ser repassado às instituições em contratos futuros.
Auditoria direta e rastreabilidade como foco do BC
Fontes do setor avaliam que, além da revisão de normas, o Banco Central deve adotar uma abordagem mais ativa em auditoria e rastreamento de acesso aos sistemas. Carlos Sangiorgio, vice-presidente de tecnologia da Evertec + Sinqia, acredita que o papel do regulador se tornará mais intrusivo, com ênfase em evidências documentais e autenticadas:
“O BC não consegue impedir o roubo de uma credencial, mas pode exigir a lista completa de quem tem acesso ao ambiente. A partir disso, valida autorizações, verifica autenticação multifator, e pode até consultar antecedentes. Com auditoria real, a empresa precisa comprovar que adota boas práticas — não apenas declará-las.”
Jornada regulatória exige robustez técnica e organizacional
A obtenção do status de PSTI envolve um processo de oito etapas, que inclui desde o planejamento regulatório inicial até a operação contínua, passando por homologações técnicas, testes de segurança, certificações, operação-piloto e avaliação formal. Trata-se de uma estrutura que demanda investimento contínuo em redes, redundância de data centers, suporte 24/7 e governança de risco cibernético.
De acordo com Sangiorgio, cerca de 20 milhões de transações mensais são necessárias para sustentar uma operação com equilíbrio financeiro. Ele observa, porém, que empresas que já operam com altos padrões de segurança podem absorver as novas exigências com menor impacto.
Banco Central exige respostas, mas não anuncia mudanças formais
Embora não tenha confirmado oficialmente alterações nas regras de supervisão e segurança, o Banco Central já iniciou movimentações. Segundo fontes, a autarquia solicitou a algumas empresas, como a própria Sinqia, o preenchimento de formulários detalhados com informações sobre segurança de rede, protocolos comportamentais e mecanismos de resposta rápida, como o acionamento de circuit breakers — ferramentas de emergência para conter eventos críticos em tempo real.
C&M Software: o maior golpe cibernético contra instituições financeiras no país
O caso da C&M veio à tona em 2 de julho e envolveu o acesso indevido a contas mantidas por instituições financeiras diretamente no BC. As perdas estimadas variam entre R$ 500 milhões e R$ 1 bilhão, embora os clientes finais não tenham sido impactados. A Polícia de São Paulo classificou o incidente como o maior ataque já registrado contra instituições do setor.
O ex-funcionário da empresa, João Nazareno Roque, foi preso sob acusação de facilitar o acesso dos invasores aos sistemas internos
Infraestrutura terceirizada é padrão entre instituições menores
Os PSTIs são contratados majoritariamente por instituições financeiras de menor porte, como bancos digitais, fintechs, cooperativas e instituições de pagamento. O modelo permite acesso aos sistemas do Pix sem que essas instituições precisem manter infraestrutura própria — algo reservado, em geral, aos grandes bancos como Itaú, Bradesco, Santander e Banco do Brasil.
Instituições intermediárias, como BTG Pactual, Banrisul, Safra e BV, podem adotar modelos híbridos, combinando estruturas internas com serviços terceirizados.
Conclusão: o custo invisível da segurança digital
O ataque à C&M Software expôs uma vulnerabilidade crítica na arquitetura operacional do sistema financeiro — e deve marcar um novo capítulo na relação entre regulação, tecnologia e custo. Em um ambiente onde a eficiência operacional e a segurança cibernética caminham lado a lado, o desafio do Banco Central será equilibrar exigências cada vez mais rigorosas com a sustentabilidade das empresas que viabilizam, nos bastidores, a engrenagem do Pix.
