Fintechs ganharam espaço prometendo mais agilidade e menos burocracia — mas o ataque hacker que causou um prejuízo de centenas de milhões de reais de um “banco invisível” por trás dessas operações expôs uma nova preocupação: quem segura o risco quando a segurança falha?
Inscrição confirmada! Agora você faz parte do ritmo.
O ataque hacker aconteceu entre a noite de 1º de julho e a madrugada do dia 2. O alvo foi o BMP, um chamado “banco invisível”, ou seja, uma instituição que conecta as fintechs ao sistema de pagamentos organizado pelo Banco Central.
Segundo informações da investigação, os criminosos roubaram login e senha de um cliente da C&M Software, empresa de mensageria que faz essa intermediação técnica. Com credenciais legítimas, conseguiram acessar o sistema, autorizar transferências e movimentar recursos das contas reservas que essas instituições mantêm junto ao Banco Central exclusivamente para finalizar as transferências (Pix e outros pagamentos) entre instituições financeiras.
As ordens de pagamento que os hackers realizaram foram enviadas para contas laranjas, que são ligadas a uma organização criminosa, e boa parte do dinheiro foi convertida em criptomoedas ou dólar virtual, o que dificulta o rastreio.
O BMP, até agora único nome confirmado, absorveu o prejuízo, sem repassar as perdas para os clientes finais. Mas, como consequência, várias fintechs tiveram o Pix fora do ar por algumas horas, já que dependem desse tipo de conexão para liquidar operações.
Para as fintechs, o caso expõe uma vulnerabilidade importante. Essas empresas oferecem serviços típicos de bancos sem serem bancos de fato. Para viabilizar transações como Pix, muitas dependem de instituições de liquidação — os chamados “bancos invisíveis” — e de empresas de mensageria que fazem a ponte técnica com o Banco Central.
Desde o movimento de desregulamentação iniciado em 2018, o número de fintechs saltou para mais de 300 no país. Mas apenas cerca de 20% delas são fiscalizadas diretamente pelo BC. Na prática, isso cria uma rede de intermediários que concentram operações críticas do sistema.
No caso do ataque, as ordens de transferência usaram credenciais legítimas, o que tornou mais difícil detectar que se tratava de fraude no momento da liquidação. É uma situação comparável a alguém que usa a senha do cartão de crédito e faz compras sem levantar suspeitas.
Sem mecanismos automáticos para identificar transações atípicas, a vulnerabilidade é ainda maior durante períodos de baixo movimento, como a madrugada — como foi o caso deste ataque hacker. Para as fintechs, o caso reforça um debate sobre governança, compliance e monitoramento de risco em toda a cadeia.
No ecossistema financeiro, a rapidez de novos players precisa caminhar junto com estruturas sólidas de segurança. A necessidade de intermediários para conectar fintechs ao Banco Central segue como ponto de atenção.
Enquanto as investigações avançam, o caso mostra que mecanismos de detecção e resposta a fraudes ainda têm brechas importantes. E blindar essas pontas pode ser tão crítico quanto escalar novos produtos ou ganhar usuários.
