Mauro Oliveira - Professor IFCE
(Dedicado ao Economista Celio Fernando, importante colaborador do Pirambu Innovation)
Agosto de 2005. Um túnel cavado por debaixo das barbas do Banco Central de Fortaleza leva a bufunfa de R$ 165 milhões, em espécie. Um assalto hollywoodiano que virou filme.
Julho de 2025. Nada de túnel, nada de picareta — agora o assalto é na nuvem, com login e senha vendidas por funcionário “meliante” e Pix pra tudo quanto é lado. A tecnologia saiu do chão, literalmente, e foi pro front-end.
A vítima da vez? Não foi o cofre da Rodrigues Júnior esquina com Duque de Caxias, mas as contas de reserva de fintechs que usavam os serviços da empresa C&M Software, aquela que fazia a ponte entre o Sistema de Pagamentos Brasileiro (SPB) e as startups do dinheiro digital. Estimativas especulam um rombo de R$ 400 milhões a R$ 1 Bilhão. Assim mesmo: com "B" de Big data, Buraco, BaaS (Banking as a Service) e Brasil.
Marcos Zanini, especialista em segurança digital e um dos responsáveis pela implementação do Pix, reconhece que as fintechs — empresas que atuam nos mercados financeiros com uso intensivo de tecnologia — necessitam de regulamentação específica, sobretudo no que diz respeito a mecanismos de segurança cibernética. Afinal, o ataque expôs uma galera que andava sambando com salto fino em cima do barril de pólvora digital.
Segundo a Asper, uma das primeiras empresas de cibersegurança a emitir parecer técnico sobre o caso, o problema não estava no Pix, nem no BC, mas sim em provedores terceirizados, responsáveis por atuar como gateways ou integradores do SPB para fintechs. A C&M Software, nesse contexto, é apontada como o elo vulnerável do ataque.
Um dos aspectos mais críticos identificados foi o fato de que as credenciais de acesso de diversos clientes estavam concentradas em uma mesma área interna da C&M Software — uma espécie de um password corporativo para trocentas fintechs, tudo guardado no mesmo lugar. Aí, alguém resolveu vender o combo: login, senha... e o caos.
Esse tipo de vazamento, ocorrido em um ambiente com tal nível de sensibilidade, escancara uma falha estrutural inaceitável dentro de modelos baseados em BaaS — onde o mínimo esperado seria a segmentação segura de credenciais, rastreamento de acessos e protocolos de resposta em tempo real atualizados. Não foi o caso, diz a Asper.
Explicando melhor: a detecção da fraude só ocorreu após a conversão dos valores em criptomoedas, Pix na execução das transações fraudulentas. Não havia, como relata a Asper, naquele momento, limites automáticos que disparassem alertas, o que facilitou saques em massa antes de qualquer resposta sistêmica.
Detalhe poético: quem alertou o BC não foi um firewall, nem o COAF, mas a SmartPay, uma operadora de criptomoedas. Ironia das boas: foi o mundo cripto, sempre tratado como vilão, que salvou o dia da república bancária. No Brasil, até a distopia tem reviravolta.
Ah, e a BMP, aquela fintech que saiu mais chamuscada do que as outras? No modelo adotado por ela e por outros clientes da C&M, há uma concentração de recursos em uma única conta operacional, o que, segundo especialistas, dificulta o rastreamento da origem e da real titularidade dos valores em casos de fraude ou ataque (numa espécie de “engenharia reversa contábil”) que pode abrir brechas para lavagem de dinheiro, drogas, rachadinhas e outras malandragens que assolam o pais.
Considerando que muitas dessas fintechs, embora legais, operam fora da regulação direta do Banco Central, a fiscalização efetiva de cerca de 2.000 fintechs em operação no Brasil se torna um desafio real.
Este episódio, o maior ataque hacker da história do país, revela mais do que brechas tecnológicas — expõe também o descompasso entre a transformação digital e o letramento digital da população. O primeiro impulso coletivo (meu inclusive ... rsrsr) diante da notícia foi saber se as contas bancárias foram afetadas. Resolvida a questão do bolso — esse órgão sensível do homo sapiens — a atenção da massa rapidamente se deslocou para a Copa Mundial de Clubes, essa aí onde o Fluminense está prestes a erguer a “Taça Jules Rimet” (É o NOVO, Guajará).
Enquanto isso, a importância do Letramento Digital segue ausente das cabeças de nosso povo ... e das agendas de nossos governantes. Questões como a gravidade de ataques cibernéticos, o papel dos certificados digitais, os impactos da IA no desemprego em massa, a colonização digital (a grana que você paga mensalmente ao Netflix, Google Drive, Office e o escambau tecnológico das big-techs) e a perpetuação de um modelo econômico baseado em commodities que só aumenta a desigualdade social ... tudo isso “ausente das cabeças de nosso povo ... e das agendas de nossos governantes”.
Quantos de nós, professores, empresários, juízes, profissionais em geral estão cientes das consequências do estrago que o roubo de um certificado digital (“uma assinatura com firma reconhecida em cartório”) é capaz ... digam aí? Quantas fraudes eletrônicas acontecem com o cidadão comum diariamente por falta de um “Letramento Digital”? Existe coisa mais “besta” do que o sofrimento que a indústria das BETs tem trazido à população brasileira?
A real é que estamos desarmados num tiroteio de bytes. Sem política pública séria de IA, sem estratégia de cibersegurança integrada e com parte do Congresso ainda achando que “metaverso” é nome de uma nova igreja evangélica ... isenta de impostos, que tal?
O Brasil corre o risco de ser espectador passivo de uma revolução digital que já acontece — e que, sem iniciativa estratégicas, poderá se consolidar contra os interesses nacionais.
A urgência imposta pela era digital exige o abandono da apatia e o enfrentamento direto dos desafios contemporâneos. Políticas públicas estruturadas em torno da inteligência artificial e da inclusão digital precisam ser priorizadas. Enquanto o Piauí já insere IA nas suas pautas de governo, tem estado por aí que ainda acha que o problema é o sinal do wi-fi.
A ausência de uma estratégia nacional pode nos excluir dos fluxos globais de inovação — ou pior: nos deixar à mercê de decisões automatizadas por algoritmos treinados em contextos alheios à nossa cultura, aos nossos dilemas e às nossas urgências. Ainda há tempo de entrar no jogo com voz ativa, ocupar os espaços e garantir que essa revolução digital não aconteça sem o Brasil… e muito menos contra ele.
O maior ataque hacker da história do país não expõe apenas fragilidades técnicas, mas revela o espelho trincado de uma sociedade que ainda trata o digital como acessório, e não como estrutura. A transição do arrombamento físico para o vazamento de credenciais não nos livrou da ingenuidade — só a trocou de roupa.
É preciso, portanto, fortalecer as iniciativas locais que já vêm reinventando saberes digitais, testando linguagens emergentes e promovendo inclusão crítica nos territórios onde a inovação pulsa com sotaque próprio. O chamado ao Letramento Digital já ecoa — vibrante, necessário e insubmisso.
Que venha o Letramento Digital: com sotaque, com ginga, com prompt, com código... e com a criatividade tropical — porque sem ela, o Brasil continuará tropeçando entre o cofre e o código, e invariavelmente pagando a conta.
Talvez seja esse o tal "Outro Brasil que Vem Aí", anunciado por Gilberto Freyre lá em 1926:
“Eu ouço as vozes / eu vejo as cores / eu sinto os passos / de outro Brasil que vem aí / mais tropical / mais fraternal / mais brasileiro.”
Que esse Brasil chegue logo, meu “Deus do Céu”, não só mais tropical, mas também mais digital, mais crítico, mais nosso.
Mauro Oliveira, PhD em informática (Sorbonne University), foi Secretário de Telecomuncações do Ministério das Comunicações