Desde que surgiu a notícia do desvio de quase R$ 1 bilhão envolvendo o sistema bancário brasileiro, muita gente ficou abismada, com razão. O golpe foi arquitetado com acesso legítimo, sem precisar de técnicas complexas de invasão. Um funcionário de uma empresa terceirizada, a C&M Software, teria fornecido credenciais e colaborado com o grupo, permitindo que eles simulassem transferências “normais” através das APIs do SPB e Pix. O mais absurdo? Segundo a investigação, ele teria recebido só R$ 15 mil por isso. E aí começa a bizarrice.
Tecnicamente, o caso é um alerta vermelho: o sistema permitiu requisições automatizadas com pouca verificação real de comportamento, sem autenticação multifator efetiva, e aparentemente sem auditorias em tempo real. E aqui é importante destacar: o funcionário acusado de colaborar com o grupo criminoso não era qualquer um. Ele possui formação de alto nível, com doutorado (PhD) na área de TI, e pleno domínio sobre os sistemas envolvidos. Segundo informações já divulgadas, ele não só forneceu credenciais como também ajudou a arquitetar o sistema de automação que disfarçava as transferências. Isso torna ainda mais difícil acreditar que ele não tinha plena consciência da dimensão e das consequências do que estava fazendo.
Ainda tem coisa que não bate. R$ 15 mil? Só isso? Para alguém que teve papel-chave em um desvio de nove dígitos, com formação de ponta e total capacidade de mensurar o estrago? Ou esse valor é apenas simbólico, ou ele está sendo usado como cortina de fumaça para proteger figuras mais influentes por trás da operação. Em golpes grandes, os rastros quase sempre somem dentro de estruturas que não gostam de ser iluminadas. Quem garante que parte desse dinheiro já não circula em engrenagens mais sofisticadas, em setores onde tocar no assunto se torna “desconfortável”? Juízes, autoridades, intermediários — a gente já viu esse filme antes. E infelizmente, se ninguém pressionar por transparência, esse também pode acabar nos arquivos como “caso resolvido”, mesmo sem nenhuma resolução de verdade.
Esse tipo de caso escancara uma verdade incômoda: não basta apenas investir em firewalls, criptografia ou políticas de segurança. A real fragilidade muitas vezes está na confiança cega, seja em sistemas automatizados, em prestadores de serviço ou em estruturas institucionais. Quando a resposta a um golpe desse tamanho é silêncio, a sensação que fica não é só de insegurança técnica, mas de abandono institucional. O risco não é apenas que o dinheiro não volte. É que a verdade não apareça.
