O ataque cibernético que atingiu a C&M Software na madrugada do dia 1º de julho é um divisor de águas para o sistema financeiro brasileiro? Segundo Diego Perez, presidente da Associação Brasileira de Fintechs (ABFintechs), o acontecido preocupa não só pela escala, mas por constatar que mesmo com um ambiente regulado e supervisionado pelo Banco Central, as brechas ainda existem.
Foto: divulgação / ABFintechs
“Recebemos isso com preocupação. São empresas altamente reguladas, que passam por um crivo tecnológico e regulatório. Mas o incidente mostra que vulnerabilidades ainda estão acontecendo. Existem malfeitores vivos no mercado querendo explorar essas fragilidades”
A investigação da Polícia Civil de São Paulo, que agiu rápido e já prendeu um suspeito que teria lucrado 15 mil reais no crime, aponta que o ataque envolveu o uso indevido de credenciais de clientes da C&M para executar transferências via Pix. No total, oito instituições foram afetadas.
Mais do que um crime que envolveu grande quantia (só a BMP teve mais de R$ 400 milhões subtraídos), o episódio deu luz à vulnerabilidade das camadas intermediárias que sustentam o funcionamento de serviços como Pix, TEDs e contas reservas, dado que a C&M atua com autorização do BC como um elo entre fintechs, instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB).
Para Perez, o ataque mostra que a máxima de que não existe tecnologia 100% segura tem algum sentido e que, portanto, o setor precisa estar em constante adaptação.
“A lição é que a tecnologia está em contínua transformação. Mesmo que os agentes ajam com transparência e responsabilidade, adaptações são sempre bem-vindas para tornar o ambiente mais robusto”
Com isto posto, o presidente ainda defendeu que com limões, por mais azedos que sejam, seja feito uma limonada. Isto é, que o incidente seja encarado como ponto de partida para melhorias e amadurecimento regulatório. Para ele, a ausência de um marco regulatório específico para o modelo BaaS (banking as a service) é uma fragilidade, embora reconheça que o setor se movimenta na direção correta.
“O BaaS está buscando regulação. Quando houver um marco regulatório vigente, com empresas sujeitas a regras específicas, o cenário de segurança tende a se tornar mais palpável. A colaboração entre mercado e autoridade reguladora tem se mostrado saudável e produtiva”
Mesmo assim, Perez fez questão de argumentar que é necessário cautela, já que o excesso de regulação pode inibir a inovação:
“A regulação precisa refletir o cenário atual. Ela deve evoluir com o mercado, mas sem exageros. Uma regulação excessiva pode sufocar a inovação”
