O aumento dos crimes cibernéticos no Sistema Financeiro Nacional (SFN) vem preocupando o Banco Central (BC). Divulgado em novembro deste ano, o Relatório de Estabilidade Financeira traz um estudo sobre os incidentes reportados ao BC nos últimos oito anos, com destaque para o crescimento de 24 casos em 2023 para 59 em 2024. Mas esses crimes seguem aumentando: até outubro deste ano, o BC já havia registrado 68 ataques cibernéticos. Esse crescimento deve-se não só à fragilidade da segurança das instituições, mas também ao conhecimento avançado dos grupos criminosos sobre o SFN.
Segundo o BC, os incidentes mais impactantes foram caracterizados pelo ataque a Provedores de Serviços de Tecnologia da Informação (PSTI), empresas prestadoras de serviços de processamento de dados e de conectividade. Essas companhias podem ser contratadas por instituições financeiras e de pagamento que não possuem infraestrutura própria para operacionalizar o acesso à Rede do Sistema Financeiro Nacional (RSFN), uma vez que algumas delas não possuíam controles adequados para a gestão do risco de serviços providos pelas empresas contratadas.
O relatório mostra que a maioria das instituições realiza corretamente as etapas iniciais de contratação de uma empresa terceirizada, mas há menor frequência nas atividades de gestão contínua e análise de riscos, que são essenciais para o acompanhamento efetivo dos terceiros ao longo do tempo. Apenas 37,3% realizam avaliação periódica dos riscos relacionados a cada prestador de serviços, e 46,5% monitoram e avaliam periodicamente a adequação da prestação de serviços.
O Banco Central identificou que o crime organizado tem cooptado prestadores de serviço contratados e colaboradores das instituições para garantir credenciais que permitem acesso à infraestrutura tecnológica das instituições financeiras e de pagamento. Esses colaboradores facilitam a instalação de dispositivos no ambiente de tecnologia da informação (TI) da instituição, o que permite a conexão à rede interna e pode resultar na obtenção indevida de informações ou no acesso remoto aos sistemas da empresa.
“Os eventos recentes exigiram conhecimento avançado sobre a operação do SFN. As táticas, técnicas e procedimentos dos criminosos na execução de ataques cibernéticos indicam que esses grupos possuem conhecimento avançado sobre a operação, a organização e os processos do SFN, incluindo o conhecimento sobre aspectos específicos da arquitetura dos sistemas das instituições atacadas e das atividades desenvolvidas por pilotos de reserva dessas instituições”, afirma o BC.
Os incidentes cibernéticos tiveram como característica principal a atuação coordenada e planejada de grupos criminosos com o objetivo de subtrair recursos financeiros das instituições. De 2018 à 2021, o Banco Central identificou o aumento de 26 incidentes relevantes reportados. De 2022 à 2024, os reportes passaram de 20 para 59. Em 2025, 68 casos foram reportados até outubro, sendo 37 fraudes que resultaram no roubo de recursos das fintechs, dos bancos e dos clientes.
Ataques cibernéticos em 2025
Em junho de 2025, um dos maiores ataques cibernéticos já registrados pelo setor financeiro brasileiro teve como alvo a C&M Software, empresa que conecta instituições financeiras ao Banco Central e ao PIX. A ação criminosa afetou ao menos seis instituições e teve como objetivo o desvio de dinheiro de contas de bancos e instituições de pagamento que são usadas para gerenciar transferências de dinheiro de clientes via PIX.
Ao todo, os criminosos desviaram cerca de R$813 milhões. Para efetuar o crime, acessaram as “contas reservas” das instituições, que servem como uma reserva de recursos que os bancos precisam manter no BC para garantir que cumpram com suas obrigações financeiras, e transferiram o dinheiro de bancos clientes da C&M Software.
Os acessos só foram efetivados, porque os criminosos usaram as credenciais legítimas para acessar os serviços. Um funcionário da C&M vendeu as senhas do sistema da empresa e, a pedido dos hackers, rodou códigos que permitiram explorar o ambiente digital. O ataque permitiu ordens falsas de transferência de PIX em nome dos bancos, o que gerou o desvio.
O grupo criminoso ainda lavava os valores das fraudes por meio de investimentos em criptoativos, que eram revertidos em dinheiro e bens no Brasil e no exterior para uso dos integrantes do esquema.
Um caso semelhante aconteceu pouco mais de 2 meses depois, em agosto, com a empresa Sinqia, que teve um desvio de aproximadamente R$710 milhões em transações não autorizadas. A companhia também é responsável por conectar bancos ao sistema PIX e sofreu o ataque nos mesmos moldes: por exploração de credenciais de fornecedores legítimos de tecnologia da informação.