O que desvio milionário envolvendo o Pix revela sobre governança e cibersegurançaO malvado favorito da direita: Moraes vira alvo global do trumpismoTarifaço: AGU pede investigação de investidores com informação privilegiadaBolsonaro pode ser preso se não cumprir cautelaresMoraes diz que Eduardo Bolsonaro 'intensificou as condutas ilícitas''Medida arbitrária', diz Lula sobre revogação de visto de ministros do STFTrump volta a criticar BRICS: 'Está desaparecendo rapidamente'Secretário de Trump ordena revogação do visto de MoraesSe voltar, Eduardo Bolsonaro corre sério risco de ser presoDamares tenta projetar Michelle em meio a operação da PF: 'Maior líder da oposição'
O que desvio milionário envolvendo o Pix revela sobre governança e cibersegurança Pix, o sistema de pagamento instantâneo brasileiro | Foto: Marcello Casal Jr/Agência Brasil

O que desvio milionário envolvendo o Pix revela sobre governança e cibersegurança

C&M Software comunicou ter sido alvo de um ataque à sua infraestrutura, o que acarretou em um desvio sem precedentes

No início de julho, o Banco Central (BC) informou que a C&M Software — que tem como principal função integrar instituições financeiras ao sistema do Pix — comunicou ter sido alvo de um ataque à sua infraestrutura. Os criminosos conseguiram desviar um montante que pode chegar a cerca de R$ 800 milhões. O caso reascendeu um debate importante sobre governança corporativa e segurança da informação.

Atuando na área de governança e conformidade, é comum lidarmos com questionamentos constantes vindos de diversas áreas da empresa. Diariamente ouvimos frases como: “Mas por que documentar isso?”, “Precisa de política até para mudar a senha de acesso?”, “Políticas e procedimentos para tudo”, ou ainda: “Nunca aconteceu nada parecido no setor, essa preocupação é exagerada”.

Leia mais: “O impacto da decisão do STF sobre a responsabilidade das plataformas”

Como profissionais responsáveis pela integridade regulatória das operações, sabemos que a primeira vez nunca é prevista — mas sempre causa impacto.

Na era da tecnologia, sistemas estão cada vez mais automatizados e inteligentes. Porém, entre alucinações de inteligência artificial e vazamentos de dados pessoais, é fundamental considerar também o fator humano nas interações com sistemas críticos e os riscos associados à engenharia social.

Para contextualizar melhor os riscos envolvidos, é importante entender alguns conceitos que podem ser novos a quem está lendo este texto:

  • Engenharia Social: Técnica de manipulação psicológica que visa enganar pessoas para obter informações sensíveis, como senhas ou dados pessoais, com o objetivo de realizar ataques que comprometam a segurança individual ou corporativa.
  • Sistemas Críticos: São sistemas que sustentam operações essenciais de uma organização, como o processamento de transações financeiras, controle de processos industriais ou monitoramento de segurança. São projetados para garantir alta disponibilidade, confiabilidade e segurança, minimizando falhas e assegurando a continuidade dos serviços.

Casos como o da C&M Software nos lembram que a governança não é burocracia — é proteção estratégica. E que a prevenção, embora muitas vezes questionada, é o que separa a estabilidade da crise.

Contextualização

O recente incidente de fraude cibernética envolvendo um funcionário da área de tecnologia da empresa C&M Software trouxe à tona fragilidades críticas na gestão de acessos privilegiados e na proteção de dados pessoais de colaboradores com atuação em sistemas sensíveis.

A partir do comprometimento de credenciais internas, por parte do desenvolvedor de software júnior da empresa, foi possível realizar transferências financeiras indevidas por meio do sistema Pix, afetando diversas instituições.

O valor total do prejuízo causado ainda está em apuração pelas autoridades competentes.

Vulnerabilidades Associadas ao Acesso Privilegiado

Funcionários com funções técnicas, mesmo em níveis iniciais, frequentemente possuem acessos privilegiados a sistemas críticos. Quando não há implementação de mecanismos robustos de segurança — como autenticação multifator (MFA), segregação de funções (SoD), controle de sessões e monitoramento contínuo — esses acessos tornam-se alvos vulneráveis a ataques internos e externos, principalmente via aliciamento ou engenharia social.

Adicionalmente, a exposição de dados pessoais e funcionais desses colaboradores — como cargos, e-mails ou responsabilidades técnicas — facilita o mapeamento e posterior abordagem por atores mal-intencionados, comprometendo toda a estrutura de segurança da organização.

Proteção de Dados Pessoais e LGPD

De acordo com o artigo 46 da Lei Geral de Proteção de Dados (LGPD – Lei 13.709/18), os agentes de tratamento devem adotar medidas adequadas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.

A ausência de políticas específicas de proteção a dados de perfis sensíveis pode, portanto, configurar violação legal, com impacto regulatório, reputacional e operacional.

Riscos Sistêmicos ao Sistema Financeiro Brasileiro

O caso envolvendo o BC e o Pix evidencia uma fragilidade importante no ecossistema financeiro nacional: a exposição de credenciais críticas sem camadas adicionais de controle ou validação organizacional. Ainda que o Banco Central mantenha critérios rígidos de integração, a dependência de operadores humanos em camadas intermediárias — especialmente prestadores de serviço terceirizados — cria pontos de vulnerabilidade sistêmica.

Esse tipo de incidente compromete:

  • a resiliência operacional das instituições,
  • a confiabilidade das estruturas de pagamento digital,
  • e a imagem do sistema financeiro brasileiro diante do mercado e do consumidor.

Recomendações Técnicas

Para mitigar riscos semelhantes a esse caso envolvendo o Pix, recomenda-se:

  • Implementação de autenticação multifator (MFA) em todos os acessos administrativos e técnicos;
  • Adoção de gestão de identidades e acessos (IAM) com revisões periódicas e revogação imediata após desligamentos;
  • Monitoramento contínuo de atividades privilegiadas com alertas e análise comportamental;
  • Restrição do acesso ao ambiente de produção para perfis técnicos, salvo por exceções controladas;
  • Avaliação e fiscalização rigorosa de terceiros integrados ao ecossistema financeiro;
  • Desenvolvimento de políticas específicas para proteção de dados de funcionários com acesso privilegiado, com confidencialidade interna e controle de exposição;
  • Capacitação contínua de equipes técnicas sobre riscos de engenharia social, cooptação e responsabilidade legal.

Conclusão

A fraude em questão envolvendo o Pix reforça que a segurança cibernética não depende exclusivamente de infraestrutura tecnológica, mas também da governança sobre quem opera e tem acesso a essa tecnologia.

A proteção dos dados pessoais de perfis estratégicos, aliada a políticas de controle de acesso e segmentação de responsabilidades, deve ser tratada como eixo fundamental da estratégia de segurança da informação das organizações.

________________

* Juliana Roman é mestre em Direito pela Universidade Federal do Rio Grande do Sul (UFRGS), em parceria com o Centro de Estudos Europeus e Alemães (CDEA/DAAD). Especialista em Compliance pela Fundação Getulio Vargas (FGV). Especialista em Direito do Consumidor pela Universidade de Coimbra (FD/UC). Especialista em Direito Digital pela Fundação Escola Superior do Ministério Público (FMP). Graduada em Direito pela Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS).

Compartilhar:
Tags:
Image Arrow

O malvado favorito da direita: Moraes vira alvo global do trumpismo

O que desvio milionário envolvendo o Pix revela sobre governança e cibersegurança

Image Arrow

Relacionados


News
  • 28/06/2024 14:28

Estudo aponta que os nossos hábitos digitais estão provocando uma Distorção da Moralidade Humana.

News
  • 11/04/2024 03:31

Após embate entre Elon Musk e Alexandre de Moraes, Arthur Lira decide que PL das Fake News não será mais votado

News
  • 12/04/2024 23:41

Elon Musk: política, leis e as redes sociais

News
  • 20/06/2024 12:39

UE Aprova Primeira Regulamentação Abrangente sobre Inteligência Artificial: Saiba qual

News
  • 10/03/2023 12:27

Ransomware é a ameaça de segurança cibernética mais comum no momento?

News
  • 21/01/2024 18:51

Presidente Lula sanciona lei que criminaliza práticas de bullying e cyberbullying. E agora?

News
  • 11/12/2024 16:31

STF dá início à 5ª sessão para julgar responsabilização das redes sociais

News
  • 05/03/2025 11:24

Como a computação quântica vai mudar a sua vida nos próximos anos

Últimos Acontecimentos
O malvado favorito da direita: Moraes vira alvo global do trumpismo

O malvado favorito da direita: Moraes vira alvo global do trumpismo

Tarifaço: AGU pede investigação de investidores com informação privilegiada

Tarifaço: AGU pede investigação de investidores com informação privilegiada

Bolsonaro pode ser preso se não cumprir cautelares

Bolsonaro pode ser preso se não cumprir cautelares

Moraes diz que Eduardo Bolsonaro ‘intensificou as condutas ilícitas’

Moraes diz que Eduardo Bolsonaro ‘intensificou as condutas ilícitas’

Principais Temas
Principais Tags