Em análise técnica, CISO do grupo aponta falha de confiança na cadeia tecnológica; CEO defende revisão urgente do marco regulatório
São Paulo, 3 de julho de 2025 – O ataque cibernético que desviou mais de R$ 1 bilhão de contas de reserva de instituições financeiras junto ao Banco Central acende um alerta sistêmico sobre a arquitetura tecnológica que sustenta o sistema financeiro brasileiro. A avaliação é de Paula Yara, Chief Information Security Officer (CISO) do Grupo Ivy, que publicou nesta terça-feira (2) uma análise técnica do incidente. Para a executiva, o caso representa “um ponto de inflexão para a segurança digital no setor bancário”.
“A falha não foi de software. Não há registros de exploração de código, CVEs ou vulnerabilidades técnicas públicas. O ataque mais provável ocorreu via uso indevido de credenciais legítimas — ou seja, os criminosos não romperam barreiras, eles foram reconhecidos como usuários válidos”, afirma Paula. “É uma falha de processo, não de tecnologia”.
O ponto de entrada foi a C&M Software, empresa que fornece infraestrutura crítica de mensageria e integração (APIs) entre bancos, fintechs e o Sistema de Pagamentos Brasileiro (SPB). Uma vez autenticados, os invasores teriam acessado a plataforma de Banking-as-a-Service da BMP, principal provedora do país, e executado ordens de transferência a partir de contas de reserva mantidas junto ao Banco Central. O ataque afetou ao menos seis instituições, entre elas o Bradesco e a Credsystem.
“O sistema funcionou exatamente como deveria — e isso é o mais alarmante”, observa Paula. “Os mecanismos de segurança reconheceram o criminoso como legítimo. Isso significa que a falha não foi no código, mas na governança de identidade e no monitoramento de acessos privilegiados”.
Segundo a executiva, o episódio expõe a fragilidade do modelo de confiança implícita que sustenta grande parte do ecossistema financeiro digital. “O que falhou não foi uma fintech, foi um elo tecnológico central. Isso torna o incidente muito mais grave e exige uma reavaliação do modelo de terceirização tecnológica no setor”, diz.
A análise ocorre em meio à Consulta Pública 108/24, em andamento no Banco Central, que propõe regulamentar formalmente o BaaS no Brasil. Para Paula, o ataque muda o tom da discussão: “Antes debatíamos estrutura de mercado e concorrência. Agora estamos falando de risco sistêmico e resiliência nacional”.
A executiva defende que o novo marco regulatório incorpore exigências claras de:
• Governança de identidade e acesso (IAM);
• Due diligence de fornecedores de infraestrutura;
• Regras de responsabilidade solidária em falhas em cadeia;
• Auditoria contínua e monitoramento de anomalias em tempo real.
“O risco de quarta parte ficou escancarado. Uma fintech que contrata uma provedora de BaaS herda, sem saber, os riscos dos fornecedores dela. Esse ataque nos mostra que não é mais aceitável confiar por default. A confiança precisa ser conquistada, verificada e renovada continuamente”.
Com mais de 10 anos de experiência em tecnologia e segurança da informação, Paula Yara atua na construção de arquiteturas resilientes para o setor financeiro. Ela alerta: “Este foi um teste de estresse não simulado. E o Brasil só não colapsou porque algumas instituições estavam capitalizadas. Mas se não houver resposta institucional rápida, o próximo ataque pode não ter o mesmo desfecho”.
Para o CEO do Grupo Ivy, Miller Augusto, o episódio reforça a urgência de revisão do marco regulatório e da governança tecnológica no setor financeiro: “Estamos diante de uma quebra de confiança sistêmica. O que ocorreu não foi um erro pontual, mas uma consequência de um modelo que terceiriza infraestrutura sem assumir responsabilidade integral. A regulamentação precisa avançar para proteger o sistema como um todo — e não apenas seus nós mais visíveis”.
Sobre o Grupo Ivy
Fundado em 2009, o Grupo Ivy é uma holding nacional especializada em consultoria em Soluções Tecnológicas. Com atuação diversificada, a empresa se dedica ao Desenvolvimento de Sistemas, Produtos, Pesquisas e Marcas, além de oferecer soluções em Cibersegurança e Recursos Humanos. Seu portfólio de atividades é distribuído em quatro unidades de negócios distintas: Ivy Tech, Ivy Sec, Ivy Project e Ivy Worldwide. A companhia atende mais de 250 clientes, entre eles Caterpillar, Dock Tech e ABAI Group. A holding dispõe de equipes altamente especializadas em tecnologia, cujo objetivo é fortalecer a capacidade técnica e de gestão das empresas parceiras.
Isenção de responsabilidade: As opiniões, bem como todas as informações compartilhadas nesta análise de preços ou artigos mencionando projetos, são publicadas de boa fé. Os leitores deverão fazer sua própria pesquisa e diligência. Qualquer ação tomada pelo leitor é prejudicial para sua conta e risco. O Bitcoin Block não será responsável por qualquer perda ou dano direto ou indireto.
Consultoria Especializada Internacional em Blockchain, Tokenização, Portfólio e muito mais. Oferecemos recursos detalhados, desde o passo a passo de carteiras até orientações sobre como montar um portfólio sólido.
Junte-se a uma comunidade de investidores dedicados e leve sua jornada de investimento ao próximo nível conosco.
