A Polícia Civil de São Paulo e a Polícia Federal continuam investigando o maior ataque hacker na história do Brasil, que utilizou credenciais de acesso válidas e invadiu os sistemas da C&M — uma empresa de tecnologia que faz a intermediação no acesso de bancos e fintechs de pequeno porte aos sistemas do Banco Central (BC), incluindo o Pix — para roubar dinheiro de seis instituições financeiras clientes da empresa.
Com novos relatos de perdas financeiras, as polícias estimam que o prejuízo pode ultrapassar o valor de R$ 1 bilhão. No Brasil, é cada vez mais comum a contratação de um “cyber seguro” – o seguro cibernético – para ajudar as empresas com diversos aspectos do prejuízo no caso de um ataque hacker.
De acordo com levantamento da Confederação Nacional das Seguradoras (CNSeg) com dados do ano passado, a busca por seguro contra ataque hacker cresceu 12,7% entre janeiro e junho de 2024, com uma arrecadação de R$ 110,6 milhões pagos pelas empresas clientes às seguradoras — valor conhecido como prêmio, que é o pago pelos clientes para as empresas de seguro para ter a apólice.
Na série histórica iniciada em 2020, a alta das contratações do “cyber seguro” no Brasil chega a 512,4% — mas o mercado nacional ainda é pequeno: em 2024, fechou com aproximadamente R$ 240 milhões em prêmios nesse segmento. Nos Estados Unidos, por exemplo, os prêmios chegam a US$ 10 bilhões no mesmo período.
Em casos como o ataque à C&M, no entanto, por padrão os contratos das seguradoras não cobrem valores financeiros roubados em si nos ataques cibernéticos ou excluem o pagamento da cobertura em diversas situações, como no caso de o roubo ter sido praticado com a ajuda de alguém de dentro da própria empresa vítima (como foi o caso) ou por meio de engenharia social: é quando os hackers conseguem invadir um sistema capturando dados de acesso válidos de alguém com autorização no sistema — no caso de phishing, por exemplo, quando os golpistas capturam informações sensíveis de vítimas através de links maliciosos.
Apenas o BMP, um banco digital que é uma das seis empresas clientes da C&M afetadas, relatou à polícia paulista o roubo de R$ 541 milhões. A princípio, o dinheiro não afetou os clientes e saiu das contas de reserva das instituições financeiras no Banco Central. A Polícia Civil de São Paulo prendeu um funcionário da C&M acusado de ter fornecido login e senha de acesso ao sistema da empresa aos hackers responsáveis pelo golpe em troca de R$ 15 mil.
Até o momento, o Banco Central suspendeu seis instituições financeiras pequenas do sistema do Pix, sob suspeita de terem movimentado os recursos e participado de alguma forma do esquema de desvio bilionário. A suspensão tem duração máxima de 60 dias. Artigo 95-A da Resolução 30/2020, a “lei do Pix”, estabelece que o BC pode “suspender cautelarmente, a qualquer tempo, a participação no Pix do participante cuja conduta esteja colocando em risco o regular funcionamento do arranjo de pagamentos”.