Banking-as-a-Service está vulnerável, dizem empresas de cibersegurança

O ataque cibernético à C&M Software, ocorrido no dia 1º de julho de 2025, revelou falhas no modelo de Banking-as-a-Service (BaaS) no Brasil, apontam empresas de cibersegurança. Relatórios divulgados nesta quinta-feira (03) alertam para vulnerabilidades no modelo que conecta fintechs e bancos ao Sistema de Pagamentos Brasileiro (SPB) e para a possibilidade de que ataques como esse ocorram novamente caso esses problemas não sejam corrigidos.

As falhas vão desde concentração de risco – com diversas fintechs dependendo de poucos provedores para se conectar ao SPB, o que cria gargalos de segurança – até um sistema de monitoramento reativo – o alerta só foi disparado após o dinheiro já ter sido convertido em cripto.

“A resposta coordenada entre Banco Central, Polícia Federal, instituições afetadas e
exchanges de criptomoedas conteve um impacto potencialmente sistêmico, mas o
episódio deixa claro que a próxima tentativa pode ser ainda mais destrutiva se as
mesmas vulnerabilidades permanecerem ativas”, alerta um relatório da Asper Cibersegurança.

Para a Axur, plataforma gaúcha de cibersegurança, o caso reforça a importância da cooperação entre instituições afetadas, órgãos reguladores e forças de investigação.

“A tentativa de conversão rápida dos valores para criptoativos – por meio de canais como Pix, exchanges e mesas OTC – reforça a necessidade de monitoramento mais robusto desses
vetores de lavagem, que vêm sendo explorados por agentes maliciosos devido à sua agilidade
e descentralização. Apesar disso, bloqueios pontuais mostraram que ainda há margem para
contenção de danos quando há identificação tempestiva”, avalia a empresa em relatório.

Vulnerabilidades no BaaS

• Concentração de risco

A C&M Software é uma provedora de infraestrutura que atua como elo entre fintechs e o Sistema de Pagamentos Brasileiro (SPB), viabilizando integrações com o Banco Central. Seu papel central a tornou um single point of failure – e foi exatamente essa concentração que os criminosos exploraram.

A empresa BMP, cliente direta da C&M, confirmou ter sido afetada, com acesso dos criminosos à sua conta reserva no BC. Em comunicado enviado ao mercado, o BMP informa que o ataque atingiu outras cinco instituições financeiras. Entre elas, Bradesco e Credsystem.

• Falha em mecanismos de proteção

De acordo com a Asper, os hackers varreram o servidor em busca dos keystores (.pfx / .jks) – arquivos de segurança criptografados que armazenam certificados usados ​​para autenticar dispositivos. Esses keystores contêm os certificados usados para autenticar cada banco no SPB. Segundo a empresa de cibersegurança, esses arquivos estavam acessíveis no disco, sem proteção de HSM (Módulo de Segurança de Hardware – dispositivo físico projetado para proteger processos criptográficos), permitindo a extração das chaves privadas.

Com acesso aos certificados, os criminosos entraram “pela porta da frente” nas contas reserva das instituições conectadas. “Como o SPB confia nas credenciais, as transações
passaram sem fricção, e parte do dinheiro foi desviada e rapidamente convertido em
criptoativos via Pix”, explica a Asper.

• Monitoramento ineficiente

Outra falha identificada no ataque do dia 1º de julho foi na falta de monitoramento das movimentações em valores exorbitantes no SPB, sem gatilho de verificação humana. Uma das transações, em valor estimado em R$ 1 bilhão, só teria gerado alerta após chegar a uma exchange de cripto.

“Do lado do setor privado, plataformas de criptoativos ajudaram a conter o dano. Após
detectar volume atípico de Pix ligados à compra de USDT e BTC, a SmartPay elevou filtros
de validação e bloqueou somas “relevantes” de dinheiro, devolvendo‐as às instituições lesadas; a empresa mantém cooperação com a PF e o BC no rastreamento on-chain.
Exchanges e mesas OTC de maior porte também recusaram ou congelaram liquidações
suspeitas, reduzindo a fatia efetivamente lavada”, explica a Asper.