O recente ciberataque que resultou no roubo de mais de R$ 1 bilhão da BMP, empresa de banking as a service (BaaS), escancarou um problema estrutural: a fragilidade da governança digital em um ecossistema que terceiriza sua própria segurança.
O crime teve origem em uma brecha na prestadora de serviços C&M Software, contratada para intermediar transações com o Banco Central. Segundo apurações, um funcionário da empresa teria cedido acesso à sua estação de trabalho, abrindo as portas para um criminoso que movimentou valores de contas de reserva de ao menos seis instituições financeiras.
Ciberataque não é só questão técnica: é cultural
Embora o caso envolva tecnologia de ponta e sistemas críticos como o PIX, o elo rompido foi o humano. Para Renato Batista, especialista em cibersegurança e fundador da Netglobe, o episódio mostra como o comportamento das pessoas ainda é o principal vetor de risco.
“O funcionário que compartilha seu acesso pode ser tão perigoso quanto um hacker. Segurança digital exige mais do que software; exige responsabilidade e cultura organizacional”, afirma Batista.
O que o ciberataque à BMP nos ensina?
- Confiança precisa ser auditável: não basta confiar em prestadores de serviço; é preciso monitorar continuamente.
- O elo humano é o mais vulnerável: senhas, acessos e permissões são ativos críticos e devem ser tratados como tal.
- Governança e operação devem estar integradas: não existe mais segurança “separada” do negócio.
- Cultura de segurança é construída com prática, não com cartilhas: rotina, treinamentos e clareza sobre consequências fazem diferença.
- Banking as a service exige fiscalização constante: terceiros estão diretamente conectados ao núcleo do sistema financeiro.
Ciberataque: a segurança deve começar na liderança
Para Batista, a prevenção de ciberataques exige um compromisso direto da alta gestão:
“Não é papel exclusivo da TI. A responsabilidade é da liderança. A segurança cibernética precisa estar na pauta do conselho, com diretrizes claras e ações recorrentes.”
O Brasil é líder mundial em transações via PIX, rápidas, automatizadas e irreversíveis. Isso torna o país ainda mais vulnerável a ciberataques se não houver uma governança digital madura. O caso da BMP não foi um evento isolado, mas um sinal de alerta: a segurança do sistema financeiro depende menos de firewalls e mais de pessoas preparadas para não abrir a porta errada.
