Responsabilidade civil e penal em falhas de sistemas Pix: o caso C&M Software

A falha que sacudiu o Pix

O ataque à infraestrutura da C&M Software, noticiado no início de julho, rompeu a barreira técnica que usualmente isola o sistema financeiro central dos riscos mais difusos do ambiente digital. Embora o Banco Central tenha confirmado que o núcleo do Pix permaneceu intacto, a violação da plataforma responsável por intermediar a comunicação entre instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB) foi suficiente para bloquear operações, comprometer liquidações e expor uma lacuna institucional: a ausência de fiscalização específica sobre os provedores terceirizados de conectividade.

A fragilidade explorada pelo ataque não estava em um banco, nem em uma aplicação final ao consumidor, mas na infraestrutura de uma empresa privada que operava nos bastidores, exatamente onde a transparência regulatória é menor e os protocolos de segurança variam conforme a autodeclaração.

A escolha desse alvo revelou, mais do que uma vulnerabilidade operacional, uma assimetria de responsabilidade: enquanto as instituições centrais têm suas rotinas de governança auditadas de forma constante, as empresas que orbitam o ecossistema podem operar sob protocolos próprios, sem a mesma exposição pública ou controle institucional.

O impacto direto recaiu sobre contas reservas de instituições financeiras menores, utilizadas exclusivamente para liquidação interbancária, o que, na prática, evitou prejuízos a correntistas. Ainda assim, os números são expressivos: estima-se que o desvio tenha alcançado centenas de milhões de reais, com valores oscilando entre R$ 400 e R$ 800 milhões conforme diferentes fontes de imprensa. A Polícia Civil de São Paulo classificou o episódio como a maior invasão de dispositivo eletrônico da história do país.

Quando uma falha atinge uma engrenagem crítica do sistema, ainda que periférica, a pergunta que se impõe é menos sobre como o ataque ocorreu, e mais sobre quem deveria ter impedido que ele se tornasse possível. É nesse ponto que a análise jurídica começa.

Quem arca com o prejuízo? A lógica da responsabilização civil

A responsabilidade pelo prejuízo estimado em mais de R$ 500 milhões, com algumas projeções chegando à casa de R$ 1 bilhão, tende a recair, prioritariamente, sobre a C&M Software, empresa diretamente envolvida na operação tecnológica que foi alvo do ataque. Ainda que o incidente possa ter se originado a partir da conduta de um funcionário, o ordenamento jurídico brasileiro estabelece, com clareza, que a empresa responde objetivamente pelos atos de seus prepostos, desde que praticados no exercício de suas funções ou em razão delas. Essa responsabilização prescinde da comprovação de culpa direta: basta o nexo entre a atividade desempenhada e o contexto funcional da conduta.

Além disso, a C&M atua em um setor altamente sensível, operando a interface entre instituições financeiras e o sistema de pagamentos do Banco Central. Nesse tipo de atividade, incide com ainda mais força a teoria do risco do empreendimento: quem aufere os lucros da atividade assume também os riscos decorrentes do seu exercício, incluindo falhas operacionais, vulnerabilidades técnicas e condutas irregulares de seus colaboradores. Mesmo que o ataque tenha sido arquitetado por agentes externos, o fato de sua execução ter sido viabilizada por um insider reforça a atribuição de responsabilidade à empresa, sobretudo diante da expectativa legítima de que seus sistemas estejam blindados contra esse tipo de risco previsível.

Há ainda um terceiro fundamento relevante: o dever de guarda técnica e operacional dos sistemas que viabilizam movimentações financeiras. Nesse contexto, falhas na segurança que resultam em prejuízos a terceiros, mesmo quando provocadas por terceiros, impõem o dever de indenizar, se ficar evidenciada vulnerabilidade evitável ou descuido estrutural. Empresas que intermediam transações financeiras, ainda que não manipulem diretamente valores de clientes finais, assumem o compromisso de garantir a integridade das operações sob sua responsabilidade.

Embora a C&M figure como polo central da responsabilização, não se pode descartar que outras instituições envolvidas, especialmente aquelas com vínculo contratual ou operacional com a empresa, também venham a ser chamadas a responder. Isso ocorrerá, no entanto, apenas se for demonstrado que contribuíram, por ação ou omissão, para a ocorrência do dano, seja por falhas de controle, ausência de diligência contratual ou outras formas de participação.

Nesse sentido, é somente com a apuração dos fatos que se poderá efetivamente confirmar a completa responsabilidade da C&M e, ainda, a potencial responsabilidade de outras entidades a ela eventualmente ligadas.

Em todo caso, é a C&M quem concentra, ao menos neste momento, os elementos jurídicos mais evidentes para a imputação direta do prejuízo.

Quando o crime digital vira penalidade real

Se, no campo civil, a imputação à C&M Software encontra amparo nas estruturas de responsabilidade objetiva, no plano penal a dinâmica é outra e exige individualização das condutas. O que se apura agora é em que medida os atos praticados pelos envolvidos, especialmente o funcionário suspeito de facilitar o acesso indevido, configuram delitos tipificados na legislação penal. A prisão do colaborador, aliada aos indícios de que ele teria vendido senhas e colaborado com o sistema de desvio, desloca a investigação para a esfera da responsabilidade pessoal, em que o dolo, a finalidade de obtenção de vantagem ilícita e o vínculo com o resultado passam a ser centrais.

A Lei nº 14.155/2021, que reformulou o tratamento penal dos crimes cibernéticos no Brasil, prevê penas que podem alcançar até oito anos de prisão para fraudes eletrônicas, especialmente quando envolvem sistemas financeiros.

Segundo explicou Cibele Lasinskas Machado, advogada especialista em penal empresarial do Benites Bettim Advogados, à UOL, “pessoas físicas, quando identificadas como autoras diretas de fraudes, estão sujeitas à responsabilização criminal, com penas que incluem reclusão e multa”. Isso significa que o autor material da fraude, uma vez identificado, poderá ser processado criminalmente com base no novo regime sancionador, mais severo, mais direto, mais aderente à complexidade dos ataques digitais contemporâneos.

No caso das pessoas jurídicas, a lógica é distinta. A responsabilização criminal de empresas ainda é exceção no ordenamento jurídico brasileiro, restrita a hipóteses específicas como os crimes ambientais. Isso não significa, porém, que o CNPJ funcione como blindagem. Se ficar demonstrado que dirigentes ou membros do alto escalão da empresa atuaram com dolo, ou ao menos contribuíram omissivamente de forma relevante para a ocorrência do crime, poderão ser responsabilizados pessoalmente. A jurisprudência penal tem reconhecido, com frequência cada vez maior, que o aparato empresarial não é neutro quando utilizado para viabilizar ou encobrir condutas criminosas.

Ao lado da responsabilização individual, permanece a possibilidade de que a empresa sofra sanções de outra natureza (civis, administrativas, contratuais) a depender do desfecho das investigações. A fronteira entre a responsabilidade penal de indivíduos e os efeitos jurídicos sobre a estrutura empresarial é, cada vez mais, permeável. E a maneira como esse caso será conduzido — inclusive em sua dimensão penal, servirá como precedente relevante para futuros episódios envolvendo a responsabilidade de intermediários técnicos no sistema financeiro.

A credibilidade do Pix em jogo

A escala do ataque, o montante desviado e o número de instituições envolvidas produziram um abalo perceptível na confiança pública em torno da solidez do sistema Pix. Ainda que tecnicamente o ataque não tenha atingido a estrutura central operada pelo Banco Central, o simples fato de uma empresa terceirizada (que conecta múltiplas instituições financeiras ao SPB) ter se tornado vetor de uma fraude bilionária foi suficiente para reativar o debate sobre a maturidade da segurança digital nas engrenagens menos visíveis do sistema.

Em episódios como esse, o que está em jogo não é apenas a resposta jurídica aos danos, mas a maneira como o ecossistema institucional responde ao colapso localizado de uma de suas partes. O impacto sobre a credibilidade do Pix, portanto, não decorre da violação direta de seus protocolos, mas da percepção de que suas bordas são porosas, e que as zonas técnicas sob menor regulação podem se tornar pontos de entrada para riscos sistêmicos. A legitimidade de um sistema de pagamentos tão disseminado como o Pix depende, em última instância, da confiança continuada de seus usuários — e essa confiança não se sustenta apenas na blindagem tecnológica, mas também na integridade das entidades que o viabilizam.

Por isso, a resposta das autoridades se torna parte da equação reputacional. O Banco Central, ao determinar a suspensão parcial das atividades da C&M e exigir reforço nos mecanismos de segurança e monitoramento de fraudes, deu um primeiro sinal de contenção. Resta saber se essas medidas serão suficientes para reposicionar a percepção pública sobre o controle da situação.

No curto prazo, é natural que haja hesitação, especialmente entre usuários menos familiarizados com as dinâmicas de intermediação técnica que envolvem o Pix.

O que definirá a trajetória futura da credibilidade do sistema não será, portanto, a memória do ataque, mas a clareza e consistência das respostas institucionais. A confiança em tecnologias financeiras se constrói menos por promessas e mais por coerência de conduta.

Se as autoridades reguladoras e os agentes do mercado forem capazes de demonstrar que os protocolos falharam onde não deveriam e que essas falhas foram corrigidas com rigor, a imagem do Pix poderá ser preservada. Caso contrário, o episódio da C&M será lembrado não como uma anomalia isolada, mas como o primeiro sinal de uma fragilidade mais estrutural.

O que esse caso expõe sobre o futuro da responsabilização digital no Brasil

O caso da C&M Software é, sobretudo, um espelho das lacunas regulatórias, das zonas cinzentas contratuais e da urgência em redesenhar a arquitetura de responsabilização no ecossistema financeiro digital. O ataque revelou que o ponto de fragilidade do sistema não estava na inovação do Pix, mas na ausência de controle público e padronização técnica sobre intermediários privados que operam na retaguarda das transações. Trata-se de um paradoxo: quanto mais sofisticado o sistema, mais sensível ele se torna aos elos que operam fora da luz direta da supervisão estatal.

A responsabilidade objetiva da empresa, a responsabilização penal de seus agentes internos, a eventual corresponsabilidade de instituições parceiras, tudo isso compõe o terreno jurídico imediato. Mas a verdadeira questão estratégica vai além: como reequilibrar o regime de confiança no ambiente digital quando o dano já foi consumado? Não se trata apenas de punir os responsáveis, mas de compreender que a continuidade do sistema depende da antecipação de riscos, da reavaliação das normas técnicas e da imposição de padrões mínimos de integridade para qualquer ator que participe, mesmo que indiretamente, da cadeia de liquidação financeira.

Esse episódio tensiona a fronteira entre responsabilidade técnica e responsabilidade jurídica. E evidencia o que especialistas em penal empresarial e responsabilidade civil têm reiterado: a sofisticação dos meios exige uma sofisticação correspondente dos deveres. Nenhuma empresa pode se escudar na complexidade do sistema para diluir sua obrigação de prevenir, conter e reparar danos. O que o caso da C&M ensina (ou deveria ensinar) é que, no universo digital, a responsabilização precisa ser distribuída com precisão, mas aplicada com rigor.

Em um cenário de rápida transformação tecnológica, o direito não pode apenas reagir. Ele precisa estruturar as bases para que as próximas falhas — inevitáveis — não sejam também irreparáveis. O precedente está posto. A forma como será tratado ditará os contornos da próxima crise.

Confira a notícia que contou com a opinião de nossa especialista a respeito do tema em: https://economia.uol.com.br/noticias/redacao/2025/07/04/ataque---cm---prejuizos.htm