Um ataque hacker que desviou cerca de R$ 1 bilhão de instituições financeiras nesta semana é considerado um dos maiores já registrados no sistema financeiro brasileiro. Esse incidente gerou uma preocupação significativa entre autoridades e especialistas, especialmente em relação ao uso de stablecoins, como o USDT, que está atrelado ao dólar. Essas criptomoedas permitem movimentações rápidas e são difíceis de rastrear, escapando dos controles tradicionais de segurança.
Na quinta-feira (3), a Polícia Civil de São Paulo prendeu João Nazareno Roque, um funcionário da empresa C&M Software (CMSW). Ele é suspeito de facilitar o desvio, tendo acessado indevidamente o sistema que conecta bancos ao Banco Central, incluindo operações com o Pix. Segundo a investigação, Roque vendeu sua senha por R$ 5 mil e, por R$ 10 mil, colaborou na criação de um sistema que permitiu o desvio dos valores. Essa ação envolveu credenciais de clientes da CMSW e afetou pelo menos seis bancos; os valores foram rapidamente transferidos para carteiras digitais utilizando stablecoins, dificultando a recuperação dos fundos.
Um especialista em segurança digital, Rodrigo Pimenta, destacou que o uso de criptomoedas para fraudes não é uma novidade. A tecnologia utilizada por essas moedas tem facilitado crimes como a lavagem de dinheiro e tem gerado novas formas de fraude, como o ransomware.
As stablecoins, devido à sua vinculação com moedas tradicionais e ao fato de manterem um valor mais estável, são atraentes para atividades ilegais. Isso é potencializado pela agilidade nas transferências e pelo anonimato que elas proporcionam. Em 2022, um relatório indicou que perdas globais causadas por crimes envolvendo criptoativos chegaram a US$ 22,5 bilhões.
Apesar do ataque, o Brasil é visto como um líder na regulamentação de criptoativos na América Latina. A Lei 14.478/22 exige que plataformas operadoras tenham licença do Banco Central e sigam regras de operação e fiscalização. Entretanto, há fragilidades, especialmente nos sistemas de verificação de identidade. Muitos golpistas utilizam identidades falsas, e a implementação de biometria robusta poderia ajudar a mitigar esse problema, embora exista uma preocupação com a proteção de dados pessoais, conforme determinado pela LGPD.
A C&M Software declarou que está colaborando com as investigações e afirmaram ter adotado medidas rigorosas para assegurar a segurança de seus sistemas. Uma das instituições afetadas, a BMP, informou que o incidente afetou apenas sua conta reserva no Banco Central, embora a empresa enfrente um prejuízo de R$ 541 milhões.
Na avaliação de Marco Zanini, CEO da DINAMO Networks, o ataque evidenciou falhas nos sistemas de comunicação e gerenciamento de acesso. Ele sugeriu que a implementação de dispositivos físicos de segurança e criptografia avançada pode reforçar a proteção de sistemas de pagamento como o Pix. Além disso, a adoção de algoritmos de criptografia pós-quântica, que já são reconhecidos e obrigatórios para sistemas críticos até 2035, pode ser uma solução para aumentar a segurança.
Apesar da complexidade das transações com criptomoedas, especialistas afirmam que é possível rastreá-las por meio da análise da blockchain. A Polícia Federal e outras autoridades utilizam ferramentas específicas para mapear carteiras suspeitas e identificar movimentações ilícitas. Contudo, a facilidade com que contas são abertas com dados falsos continua sendo um problema. A exigência de identificação biométrica poderia não apenas dificultar fraudes, mas também permitir um crescimento mais seguro do mercado de criptomoedas.
