O golpe que movimentou milhões de reais em transações via Pix e criptoativos, usando a infraestrutura tecnológica da C&M Software, mostrou que as fraudes mais sofisticadas exigem uma estrutura além de hackers ou ataques externos. O código malicioso foi inserido de dentro da operação por um funcionário terceirizado com acesso legítimo ao sistema, alguém que já apresentava perfil de risco e sem trajetória consolidada na área de tecnologia. A fraude foi descoberta por câmeras de segurança, e não por alertas digitais.

A operação contou ainda com o uso de empresas de fachada em nome de laranjas, contas em exchanges de criptoativos para escoamento dos valores e conivência de terceiros com perfis incompatíveis com o setor financeiro. Um dos CNPJs usados estava registrado no nome de um cozinheiro. Uma diligência de terceiros, parte integrante de um correto processo de compliance de TI e que poderia ter sido realizada em plataformas de monitoramento automático, como a Aliant, levantaria diversas bandeiras vermelhas.

O caso evidencia um ponto crítico: os sistemas financeiros podem estar tecnologicamente blindados, mas são vulneráveis a interferências humanas internas, brechas na cadeia de parceiros e ausências básicas de governança. É um tipo de risco que não aparece em dashboards de cibersegurança, mas que se materializa em prejuízo real.

Para Daniela Aggio, Diretora Executiva de Forensics & Integrity da Protiviti, consultoria especializada em gestão de riscos e compliance, e responsável por diversas investigações deste porte, o principal erro é imaginar que crimes digitais sempre vêm de fora. “É comum as organizações focarem sua atenção em ataques externos e se esquecerem de que, muitas vezes, o risco está dentro. Compartilhamento indevido de credenciais, acessos privilegiados mal gerenciados e falta de controle sobre quem entra e com quem se conecta a operação são pontos críticos”.

Rodrigo Castro, diretor geral da Nexoria, empresa dedicada exclusivamente à revenda, implementação e suporte técnico especializado de soluções digitais, reforça que fraudes como essa muitas vezes começam com engenharia social e desinformação interna.“A conscientização sobre segurança da informação e o uso de múltiplas camadas de autenticação ainda são negligenciados. Isso abre portas para que colaboradores, ou terceiros com acesso legítimo, explorem falhas graves com pouca resistência”.

Embora o caso da C&M tenha ganhado notoriedade pelo impacto financeiro, ele está longe de ser um episódio isolado. Empresas de diferentes setores vêm enfrentando prejuízos causados por terceiros mal avaliados, prestadores com baixa qualificação e ausência de processos estruturados de verificação. Um levantamento da Protiviti em parceria com o CIEC (Centro Internacional de Estudos em Compras), aponta que uma parcela significativa das companhias brasileiras ainda opera com pouca ou nenhuma estrutura formal para lidar com riscos trazidos por parceiros externos.

“Casos como esse mostram que proteger uma empresa contra fraudes exige muito mais do que investir em tecnologia. É fundamental adotar uma abordagem abrangente, que envolva desde a análise criteriosa de parceiros e fornecedores, passando pela verificação de antecedentes de profissionais com acesso sensível, até o monitoramento contínuo de comportamentos e acessos. Também é essencial fortalecer a conscientização das equipes e garantir que as áreas de segurança, compliance, jurídico e recursos humanos atuem de forma integrada, com protocolos claros de prevenção e resposta. A segurança digital, hoje, precisa ser tratada como uma responsabilidade coletiva e estratégica”, afirma Fernando Fleider, CEO da ICTS, holding especializada em soluções integradas de prevenção de riscos, compliance e segurança corporativa.

Blindar sistemas não é suficiente se as portas estiverem abertas por dentro. O caso da C&M escancara que, em tempos de tecnologia avançada, os riscos mais perigosos ainda são aqueles que parecem invisíveis, e que podem estar sentados dentro da sua própria operação. Mas, com os controles corretos, poderia ter sido evitada ou minimizada em seus impactos.

Sobre ICTS

A ICTS é uma holding que reúne empresas pioneiras em gestão de risco, compliance e segurança no Brasil. Com atuação desde 1995, lidera o mercado por meio das marcas ICTS Security, Protiviti, Aliant, SafeCompany e Profit Shield, oferecendo soluções integradas e um portfólio abrangente que combina consultoria, auditoria, tecnologia e serviços. Reconhecida como Empresa Pró-Ética desde 2015, está presente em São Paulo, Rio de Janeiro, Belo Horizonte e Barueri, consolidando sua posição como referência no setor.

Sobre a Protiviti

A Protiviti é uma empresa global de consultoria, com 85 escritórios em 25 países e mais de 7.000 profissionais, atendendo 60% das empresas da FORTUNE 1000® e 74% das 100 maiores empresas do Valor 1000®. Reconhecida como Great Place To Work e com faturamento anual superior a USD 1,5 bilhão, atua por meio de uma rede de subsidiárias e firmas-membro independentes. No Brasil, é representada pela ICTS, consultoria empresarial que oferece serviços especializados em gestão de riscos, compliance, ESG, cibersegurança, privacidade, auditoria interna e investigação empresarial, sendo reconhecida como Empresa Pró-Ética desde 2015. Combinando expertise profunda, excelência na execução e capacidade de transformação, a empresa entrega soluções que enfrentam riscos e desafios estratégicos, protegendo e maximizando o valor das organizações.

Sobre a Aliant

Com mais de 25 anos e atuação global, a Aliant é especializada em soluções completas para Governança, Compliance, Ética, Privacidade e ESG. Pertencente a holding ICTS, a empresa é líder em ética, compliance e ESG, e também a única do setor a conquistar o selo Pró-Ética seis vezes consecutivas. Além disso, a Aliant é responsável pela maior pesquisa sobre denúncias corporativas na América Latina, acolhe mais de 4 milhões de pessoas; atende mais de 3 mil clientes em 70 países, com suporte em 15 idiomas; tem mais de 240 mil relatos registrados por ano; mais de 90 mil testes de integridade aplicados; e mais de 150 mil diligências realizadas.

Sobre a Nexoria

A Nexoria é uma empresa da ICTS dedicada à revenda, implementação e suporte técnico especializado de soluções digitais voltadas à prevenção e mitigação de riscos corporativos. Nascida da evolução do hub de tecnologias da Protiviti Brasil, a Nexoria combina tecnologia de ponta com um atendimento altamente qualificado, oferecendo soluções sob medida para áreas como cibersegurança, privacidade, antifraude, forense digital e resposta a incidentes. A empresa já tem em seu portfólio mais de 80 clientes, 15 parcerias estratégicas e a solidez de 25 anos de expertise da ICTS no mercado brasileiro.