Uma onda recente de ataques cibernéticos expôs fragilidades do sistema financeiro brasileiro e chamou a atenção do Banco Central para a necessidade de reforçar mecanismos de proteção. Em comum, muitos desses crimes utilizaram OTCs, sigla para Over The Counter. Na prática, são operações de balcão que conectam diretamente compradores e vendedores de grandes volumes de criptomoedas, sem passar pelas exchanges abertas ao público. Esse formato dá mais flexibilidade, mas também pode ser usado para converter moeda fiat, como o real, em criptoativos de forma menos rastreável, dificultando a identificação da origem dos recursos.
Um dos episódios mais emblemáticos ocorreu em julho de 2025, quando a C&M Software, empresa que presta serviços a bancos e fintechs e funciona como ponte entre essas instituições e o Sistema de Pagamentos Brasileiro (SPB), foi alvo de um ataque hacker. A companhia, que oferece o chamado Banking as a Service, sofreu um possível desvio que pode superar R$ 1 bilhão. A Polícia Federal confirmou que parte do montante, superior a R$ 500 milhões, foi transformado em criptomoedas.
Diante desse cenário, o Banco Central anunciou medidas emergenciais voltadas a prestadores de serviços de tecnologia da informação (PSTIs) e instituições de pagamento (IPs). As regras incluem reforços em cibersegurança, auditoria, limites de transferências e maior rigor na entrada de novos players no sistema.
Embora direcionadas ao setor tradicional, essas resoluções enviam um recado claro: instituições que oferecem serviços críticos precisam elevar seus padrões de proteção. Especialistas avaliam que esse movimento poderá em breve atingir também as VASPs, Virtual Asset Service Providers, que aguardam regulamentação própria no Brasil. Para Matheus Medeiros, CEO da Futokens, é natural que isso aconteça. “As VASPs têm muitas semelhanças com IPs e PSTIs dentro do sistema financeiro nacional. Não faria sentido o BC aplicar regras distintas para o setor. O ponto central é que as necessidades regulatórias não podem impedir a inovação”, afirma.
A recorrência desses ataques também trouxe à tona o debate sobre a necessidade de controles mais rígidos em serviços cripto. Segundo Medeiros, hoje o setor passa por uma autorregulação conduzida por associações sérias, mas isso já não é suficiente. “Precisamos de uma regra comum vinda do regulador para trazer segurança jurídica aos players que estão transformando o mercado de capitais”, ressalta.
Enquanto o projeto de regulação do setor cripto segue em discussão, cresce a percepção de que as normas já aplicadas a IPs e PSTIs podem servir de modelo para as VASPs. Para o CEO da Futokens, o caminho parece bem definido. “Dentro do ambiente das associações e até em falas de diretores do BC, já está claro que a regulamentação das VASPs será em linha com o que vem sendo feito para IPs e PSTIs”, explica.
Para empresas do setor, o recado é claro. Seguir padrões mais rígidos desde já ajuda a evitar riscos e garante vantagem em um mercado que caminha para novas regras.
Com as novas normas, as VASPs devem adotar sistemas de monitoramento mais modernos, usar ferramentas de rastreabilidade e ter controles próximos aos de bancos. Isso pode atrair investidores e trazer mais segurança para o setor.
Enquanto o mercado aguarda definições oficiais, a atuação do BC reforça a mensagem de que a prevenção a ataques cibernéticos e a blindagem contra operações de lavagem de dinheiro serão pilares centrais da próxima fase do marco regulatório cripto no Brasil.
