Supply Chain Security
21/10/2025

Como a gestão de risco cibernético de terceiros ajudaria a mitigar os incidentes no sistema bancário

Em julho de 2025, o Banco Central do Brasil revelou que hackers tinham se infiltrado na C&M Software, um provedor de serviços bancários. Como o sistema em questão gerenciava as contas de reserva de pelo menos seis bancos, os criminosos puderam realizar diversas transações e desviar R$813 milhões.

Apenas dois meses depois, em setembro, um ataque semelhante atingiu outra prestadora de serviços, a Sinqia. Mais uma vez, hackers realizaram várias transferências, roubando cerca de R$400 milhões dos clientes da Sinqia. Logo depois, um terceiro incidente foi anunciado pelo Monbank, no qual os hackers movimentaram R$4,9 milhões.

Embora a imprensa brasileira já esteja mencionando outros dois incidentes ainda mais novos, ainda temos poucos detalhes deles. No entanto, considerando que ao menos dois incidentes claramente envolveram prestadores de serviços, convém relembrar o que aconteceu e avaliar como a gestão de risco cibernético de terceiros (Third-Party Cyber Risk Management – TPCRM) pode oferecer um norte para mitigar ou até prevenir incidentes graves como estes no futuro.

Os três incidentes

A investigação do primeiro incidente apontou que os criminosos subornaram um funcionário de 48 anos da C&M. Após ser detido, o homem admitiu que os criminosos pagaram ao todo R$15 mil por uma credencial de acesso e informações técnicas sobre o funcionamento do sistema.

Pela quantia, parece que o funcionário não tinha noção do que estava entregando aos hackers.

Como o Pix permite transferências 24 horas por dia, os bancos mantêm uma conta especial (às vezes chamadas de contas reserva ou contas de pagamento instantâneo) que são utilizadas para garantir a viabilidade das transações dentro do Sistema de Pagamento Instantâneo (SPI).

Embora o Pix tenha se tornado um grande equalizador na prestação de serviços bancários e permitido a entrada de novas instituições, o caráter instantâneo dessas transações também acabou sendo explorado por criminosos, seja em golpes online ou até em sequestros violentos. No entanto, essas fraudes atingiam os correntistas, e não os bancos diretamente.

O ataque à C&M foi diferente. As instituições financeiras podem se conectar à Rede do Sistema Financeiro Nacional (RSFN) diretamente, por meio de um Provedor de Serviços de Tecnologia da Informação (PSTI) ou, de forma híbrida, usando um canal direto e um PSTI. Financeiro Nacional. A C&M é um dos oito provedores listados pelo BC e, à época do incidente, foi noticiado que a C&M trabalhava com ao menos seis bancos.

Uma vez infiltrados no sistema, os hackers conseguiram remeter o dinheiro nas contas das instituições a várias outras contas, muitas das quais pertenciam a empresas legítimas. Isso significa que as contas provavelmente foram comprometidas ou criadas de antemão, já que é razoável supor que elas estavam sob o controle dos hackers.

Esta atividade desencadeou bloqueios de segurança em certas contas, e os criminosos provavelmente perderam o controle de tantas outras antes de transferir o dinheiro, mas parte do valor acabou convertida em criptomoedas.

O Banco BMP foi o nome mais vinculado a este primeiro incidente, mas o Banco Paulista, a Credsystem e o Banco Carrefour também confirmaram que foram afetados. Não existe uma única cifra para o prejuízo total, mas as estimativas mais recentes dos investigadores, segundo o jornal O Globo, é de que os hackers movimentaram R$813 milhões.

A segunda violação, que ocorreu contra a Sinqia/Evertec (a Evertec adquiriu a Sinqia em 2023) é na verdade um incidente de "quarta parte" da perspectiva dos bancos. A empresa declarou que os hackers usaram uma credencial de um provedor de serviços de TI, indicando que o incidente teria começado na terceirizada do terceirizado. Todo o resto segue o mesmo padrão visto no ciberataque à C&M, com o HSBC e a Artta sendo as duas principais vítimas deste caso.

As estimativas do prejuízo total publicadas na imprensa variam de R$400 a R$713 milhões. Na prática, com esses dois incidentes, criminosos teriam movimentado mais de R$1 bilhão em poucos meses.

Pouco se sabe sobre o terceiro incidente. De acordo com o Monbank, que aparentemente sofreu um ciberataque direto, apenas R$200 mil dos R$4,9 milhões desviados não foram recuperados. Também não está claro se algum terceiro esteve envolvido, mas, fora isso, o incidente é similar aos outros dois, pois envolveu um sistema responsável por transferências interbancárias.

Em outras palavras, é possível que hackers tentem realizar outros ataques com o mesmo modus operandi, e o melhor é manter a cautela.

Por que gerenciar o risco de terceiros é necessário

Já que apenas provedores de serviços de TI homologados podem se conectar à infraestrutura do BC, é razoável supor que os bancos e as instituições financeiras não precisariam gerenciar os riscos associados a esses terceiros, ou que ao menos não é necessário ser tão rigoroso com os requisitos de cibersegurança.

Como esses incidentes mostraram, é perigoso pensar assim.

Terceiros raramente indenizam todas as perdas que decorrem de falhas na prestação do serviço. Isto também parece ser verdade neste caso: ao site Neofeed, o CEO da Artta disse que que a empresa teria de assumir o prejuízo das parcelas que não forem recuperadas, e que eles teriam de iniciar uma "conversa amigável" com a Sinqia sobre esse assunto.

De todo modo, tanto o risco do negócio quanto os ativos pertenciam às instituições financeiras, então são elas que acabam fazendo o trabalho pesado nos processos após o incidente, mesmo que a culpa não seja diretamente delas.

O Banco Central respondeu aos incidentes adotando a Resolução n° 498 e a Instrução Normativa n° 664, endurecendo os critérios para a operação dos PSTIs, tanto do ponto de vista técnico como do financeiro. Entre os requisitos, temos:

  • Contratação de seguros;
  • Gestão de risco do negócio, "inclusive aqueles decorrentes da terceirização de serviços relevantes";
  • Testes e auditorias externas periódicas (quase sempre anual). 

A lista completa consta nas normas do BCB, então sugerimos conferir esse material diretamente lá.

Essas medidas são positivas, mas não substituem os processos de gestão de risco de cada instituição. As auditorias anuais, por exemplo, garantem que cada provedor saiba implementar processos de cibersegurança e responder a incidentes. Porém, garantir o cumprimento desses processos é uma batalha diária. É por isso que empresas devem monitorar os terceiros continuamente, a começar por aqueles que são mais relevantes para o negócio.

Vale lembrar que regulamentações muito rigorosas podem inibir a inovação. Por isso, órgãos reguladores tentam elevar a segurança sem prejudicar a flexibilidade e o dinamismo do setor. O objetivo normalmente é atingir um nível base de segurança que evite riscos sistêmicos, na medida do que é necessário. Sendo assim, cabe a cada empresa gerenciar seus riscos e montar a melhor estratégia para suas necessidades.

Nesse ponto, certificações e auditorias como o SOC 2 não bastam para cuidar dos riscos particulares que existem em cada atividade, sobretudo quando essas avaliações são parcialmente influenciadas pelo próprio terceiro. O monitoramento da infraestrutura externa também não teria ajudado nos incidentes da C&M e da Sinqia, já que credenciais internas foram usadas em ambos os casos.

Por isso, é melhor repensar a noção de risco de terceiros a partir da perspectiva de que é possível monitorar a infraestrutura de TI por dentro. Parceiros não devem ser tratados como "estranhos". Quando uma empresa se conecta a um terceiro, o que se tem é um ecossistema compartilhado que deve ser protegido de forma conjunta.

A terceirização não é uma inimiga

Terceirizar a infraestrutura de TI traz muitas vantagens. Empresas podem contar com terceiros para implementar novos recursos com agilidade, já que eles normalmente terão vários clientes com demandas semelhantes e uma equipe especializada no que fazem.

Não é diferente para o setor bancário. O Pix e os serviços bancários de modo geral estão sempre em evolução, e é natural que os bancos procurem por um provedor confiável para complementar sua infraestrutura ou para oferecer redundância durante períodos de manutenção programada ou quedas inesperadas.

Mas a terceirização de uma atividade não terceiriza o risco. Um contrato sozinho não garante uma restituição se o terceiro não tiver condições de pagar, por exemplo. Incidentes de cibersegurança também provocam danos à reputação, e as perdas decorrentes disso podem ser difíceis de mensurar.

O contratante tem muito a ganhar com uma abordagem mais direta e próxima dos terceiros, em especial os mais críticos. Validações anuais não dão conta de um cenário em que hackers exploram vulnerabilidades não corrigidas em dias ou horas.

O mais recente levantamento de violações de dados da Verizon (o Data Breach Investigations Report) apontou que 30% de todos os incidentes com perda de dados envolveram um terceiro. Todavia, isto não deve ser visto como uma evidência de que a terceirização em si é arriscada, mas sim que as empresas não estão escolhendo a melhor solução para validar a segurança de seus terceiros. A segurança dos terceiros não se resume a um questionário periódico para obter uma resposta formal. É um processo contínuo, como qualquer outro trabalho de cibersegurança.

Provedores de TI brilham quando desenvolvem sistemas elegantes e escalonáveis que atendam todos os seus clientes. Nesse sentido, eles têm todo o potencial necessário para serem transparentes e cooperativos, desde que seus clientes exijam isso e procurem as soluções apropriadas para colocar a ideia em prática.

Share
Latest Posts
Monitoramento inside-out e outside-in na gestão de risco de terceiros: entendendo as diferenças
Read more
Como a gestão de risco de terceiros com monitoramento contínuo contribui com o tratamento de incidentes
Read more
Quem somos e como somos: o DNA da Tenchi
Read more