O recente incidente envolvendo a C&M Software, empresa autorizada e supervisionada pelo Banco Central para prover infraestrutura de conectividade no SPB - Sistema de Pagamentos Brasileiro, revelou falhas estruturais críticas que extrapolam o mero ambiente técnico, gerando relevantes impactos para o compliance digital no setor financeiro nacional.
Na madrugada de 1/7/25, criminosos utilizaram credenciais de clientes para acessar contas reserva - mantidas pelo Banco Central para liquidação interbancária como TED e Pix - sem afetar diretamente os recursos dos correntistas. Tal ocorrido reforça a interdependência digital entre os agentes do sistema e evidencia o risco sistêmico associado à fragilidade cibernética.
Mecanismos do ataque: o Banco Central brasileiro reagiu de forma imediata, determinando a desconexão da C&M Software do ambiente Pix e a suspensão de acesso pelas instituições envolvidas.
A C&M informou que, apesar de vítima do ataque, suas operações críticas permaneceram intactas, e que está colaborando com as autoridades, incluindo a Polícia Civil de São Paulo.
Em 3/7, com a autorização do Banco Central, as operações foram retomadas de forma controlada.
Estimativas de prejuízo indicam desvio de recursos entre R$ 400 milhões e R$1 bilhão, possivelmente o maior ataque a contas reserva registrado no Brasil. Apesar disso, as instituições envolvidas afirmaram ter garantias colaterais suficientes para cobrir os valores comprometidos e assegurar os saldos dos clientes.
Possíveis responsabilidades legais
Mesmo toda operação tem no seu risco eminente, o contratante ou o fornecedor são responsáveis, em regra, de forma objetiva, por ações ou omissões em face de terceiros e principalmente, sobre seus contratados e consumidores. Nessa toada, verificamos a existência de possíveis responsabilidades legais a serem questionadas, seja no âmbito civil, relação de consumo, penal, direito digital e compliance, dentre outras situações.
Responsabilidade civil
A responsabilidade civil recai sob o Código Civil (arts. 927 e 186) e abrange tanto a modalidade subjetiva quanto objetiva. No âmbito do Direito Digital, há reconhecida aplicação da responsabilidade objetiva por defeito no serviço prestado - quando ausentes controles adequados - consolidada em doutrina e jurisprudência. Na relação entre provedores e bancos, o CDC (arts. 14 e 18) estabelece que o fornecedor é responsável por falhas, independentemente de culpa, bastando a comprovação do serviço defeituoso ou dano causado. Além disso, a teoria da “perda de chance” pode ser invocada quando consumidores ou instituições perdem oportunidades decorrentes da falha técnica.
Responsabilidade e sua relação com o consumidor final
Mesmo sem afetar diretamente o consumidor, o incidente comprometeu serviços vitais (Pix e TED), o que pode gerar indenização por falhas na prestação de serviço. De acordo com o art. 14 do CDC e confirmada pela jurisprudência, a responsabilidade é objetiva e independe de comprovação de culpa. Isso reforça a obrigação de ressarcir não apenas o dano material, mas também eventual dano moral pela interrupção ou descontinuidade de serviços essenciais, que por segurança jurídica, deverão ser provadas caso a caso.
Responsabilidade penal
O Código Penal pune a invasão de dispositivo informático (art. 154-A), fraudes eletrônicas (arts. 171, 171-A) e formação de organização criminosa (lei 12.850/13). É possível que não apenas os hackers, mas também responsáveis técnicos e gestores - em caso de omissão ou descuido grave - sejam objeto de apuração penal, conforme princípios da imputação objetiva.
Responsabilidade regulatória e o Direito Digital
Na seara da LGPD (lei 13.709/18), a C&M Software, como controladora, responde por falhas na segurança dos dados (art. 44), sujeitando-se a sanções como advertência, multa de até 2% do faturamento, bloqueio e eliminação de dados (art. 52). A falta de notificação à ANPD e aos titulares é infração grave (arts. 48 e 48-A), e caso não sejam feitas dentro do prazo legal, poderão ser aplicadas sanções ainda maiores. O marco civil da internet (lei 12.965/14) reforça obrigações sobre transparência, guarda de registros e regime de responsabilidade para provedores digitais (arts. 18–20).
Compliance digital e governança: o caso escancara a necessidade de tratar a segurança cibernética não como obrigação formal, mas como ativo estratégico. É imprescindível que empresas críticas ao SPB - Sistema de Pagamentos Brasileiro demonstrem maturidade operacional, com segmentação de rede, monitoramento proativo, controles de acesso rigorosos e relatórios transparentes aos reguladores. O modelo “privacy by design” aliado ao paradigma Zero Trust emerge como referência essencial para prevenção e preservação de reputação.
Devido a tais problemas recentes ocorridos, e seguramente aos próximos que infelizmente poderão vir a acontecer, sugere-se que contratos com provedores críticos incluam cláusulas de continuidade operacional e ciber-resiliência, a realização de due diligence cibernética contínua, com protocolos rápidos e objetivos de resposta a incidentes alinhados ao Banco Central e ANPD; e mecanismos de accountability para todo o ecossistema, buscando reduzir ao máximo os possíveis impactos de novas atividades criminosas.
Embora a atuação célere do Banco Central e a cooperação dos envolvidos mereçam elogios, o incidente deixa clara a fragilidade de estruturas críticas terceirizadas. Para evitar que falhas isoladas provoquem efeitos sistêmicos, Podendo gerar até mesmo um efeito cascata/dominó, é imprescindível a implementação de práticas robustas de continuidade operacional, auditorias técnicas regulares, frameworks avançados de segurança, governança de TI ativa e due diligence de terceiros.
Conclusão
O incidente com a C&M Software revela que a segurança do SPB - Sistema de Pagamentos Brasileiro é uma responsabilidade compartilhada. A integração entre tecnologia, compliance e governança, mediante a adoção de padrões internacionais e a educação contínua, é imprescindível para prevenir riscos sistêmicos e manter a integridade do sistema financeiro nacional.
A adequação jurídica oferecida por instrumentos como LGPD e marco civil, aliada a uma cultura de resiliência cibernética, formará a base para prevenir e responder a futuras ameaças, fortalecendo a confiança e estabilidade do mercado.
Por fim, destaca-se que tal incidente deve ser utilizado como “estudo de caso”, verificando assim quais foram as boas e as não tão boas práticas empregadas neste momento de crise, mas em especial, como se preparar para possíveis e novos problemas.
__________
Reuters. Brazil’s C&M Software hit by cyberattack, central bank says. 2 jul. 2025.
Reuters. Brazilian tech services company C&M resumes operations after cyberattack. 3 jul. 2025.
Relatórios da C&M e Banco Central sobre resposta e colaboração com investigação policial.
Estimativas de prejuízo entre R$?400 milhões e R$?1 bilhão e garantias colaterais das instituições financeiras.
Resolução BC 4.658/2018; LGPD (Lei 13.709/2018); investigações PF e Polícia Civil.
Frameworks NIST, ISO/IEC?27001, CIS Controls; reforço regulatório esperado.
Conceitos de privacy by design, Zero?Trust e compliance digital estratégico.
Código de Defesa do Consumidor, arts. 14 e 18.
LGPD (Lei 13.709/2018), arts. 44, 48, 52.
Marco Civil da Internet (Lei 12.965/2014), arts. 18–20.
Código Civil, arts. 927 e 186.
Teoria da perda de chance em incidentes tecnológicos.
Nota: Este artigo foi elaborado com o apoio de IA.