Il 30 giugno 2025, la software house brasiliana C&M è finita al centro di una clamorosa violazione informatica. La società sviluppa la piattaforma che collega gli istituti finanziari alla Banca Centrale del Brasile, permettendo le transazioni tramite PIX, il sistema di pagamento istantaneo più utilizzato nel Paese. Secondo le prime ricostruzioni, gli hacker sono riusciti a sottrarre 800 milioni di Reais (circa 140 milioni di dollari) da sei istituti finanziari. L’attacco non è stato frutto di una sofisticata intrusione tecnica, ma di un tradimento interno: un dipendente di C&M avrebbe venduto le proprie credenziali di accesso a un gruppo criminale per appena 2.700 dollari.
Le indagini hanno rivelato che i fondi sono stati trasferiti in poche ore attraverso exchange in Brasile, Argentina e Paraguay, con una parte riciclata in criptovalute tramite broker locali. Il dipendente infedele, João Roque, è stato arrestato, mentre le autorità brasiliane sono alla ricerca dei complici. Oltre al danno economico, l’episodio accende i riflettori su un tema cruciale: la cybersecurity lungo la supply chain. Non è sufficiente proteggere il proprio perimetro aziendale: occorre considerare anche fornitori, partner e clienti.
La direttiva europea NIS2 (Dlgs 184/2024, Direttiva UE 2022/2055) insiste proprio su questo punto: una catena è solida solo quanto il suo anello più debole. Per questo richiede che ogni attore della filiera adotti misure di sicurezza proporzionate al proprio settore e alle normative di riferimento. Fra le misure da adottare, l’incidente C&M pone l’accento sul monitoraggio delle attività interne. Tecnologie come User Behaviour Analytics e Data Loss Prevention possono aiutare a individuare comportamenti anomali e a prevenire la fuga di dati sensibili, riducendo il rischio di incidenti come quello che ha colpito C&M.
L’importanza di uno sguardo retrospettivo
La ricostruzione di quanto accaduto dimostra che l’anello debole della catena rimane l’uomo e ciò non solo in un contesto illegale ma anche in quello che riguarda il quotidiano agire. Ci riferiamo in particolare a tutte quelle leggerezze che compiamo giornalmente e che da un lato, vanificano gli sforzi che gli istituti compiono per rendere più sicuri tutti i passaggi necessari per garantire la sicurezza delle nostre transazioni, dall’altro a causa dell’impostazione giornalistica non contestualizzata, appare perfino che un dato Istituto Bancario sia meno sicuro di un altro.
A ben guardare il numero di atti o l’ammontare degli importi sottratti ad una banca deriva dal fatto che i malviventi in certi periodi prediligono i clienti di quell’Istituto anziché di un altro. Precisiamo infatti che i sistemi informativi dei nostri Istituti oltre a rispettare le più stringenti norme europee in materia di sicurezza come la Direttiva DORA (Digital Operational Resilience Act) che impone requisiti stringenti alle istituzioni finanziarie, sono soggetti a una supervisione ancora più rigorosa da parte della Banca d’Italia e della BCE, che ne testano regolarmente la resilienza attraverso “stress test cyber”.
Interessante appare anche l’excursus storico, utile a verificare come il passaggio dai sistemi di sicurezza basati unicamente su sistemi fisici (cassaforte, caveau) – nel tempo resi sicuri da sistemi anti-intrusione comandati a distanza, ecc. – alla ridotta, e in alcuni casi totale, indisponibilità di contanti presso le varie filiali, non abbia coinciso con una riduzione dei reati. Ciò è dovuto, almeno per l’Italia a precise cause storiche, politiche e culturali. Nel secolo scorso, i reati contro le Banche avevano finalità specifiche, prevalentemente legate alla lotta armata.
Tali reati sono passati dal furto alla rapina, fino ad arrivare perfino al sequestro di persona. Le nuove tecnologie, la videosorveglianza diffusa e un ceto politico consapevole che l’integralismo politico professato dei gruppi armati avrebbe condotto, se tradotto in linea di Governo, a un isolazionismo internazionale, hanno comportato un graduale abbandono di quelle forme di lotta che, in qualche caso, avendo comportato peraltro anche vittime civili, l’opinione pubblica non poteva tollerare.
Per contro sono progressivamente aumentati e non rallentano i reati informatici. Da questa visuale appare dirompente anche il cambio radicale del paradigma professionale. In passato, mai un’istituzione avrebbe avuto una relazione professionale con un ladro per ricevere consigli o simulare intrusioni e testare la sicurezza dei propri luoghi. Oggi, invece, appare giustificato rivolgersi a una persona “tecnicamente capace”, anche se moralmente discussa, per verificare la presenza di punti deboli, bug o punti di intrusione non presidiati nei sistemi.
Anche l’opinione pubblica ha un atteggiamento diverso. In passato, la gravità delle azioni, la pericolosità e il coinvolgimento di dipendenti e comuni cittadini in fatti criminali non potevano che suscitare una condanna senza appello. Oggi, se apprendiamo che un sistema viene violato da un ragazzo, non lo deploriamo: anzi, ne tessiamo le lodi. L’unico elemento storicamente immutato resta la prudenza, la riservatezza e quel pizzico di diffidenza verso l’altro, lo sconosciuto, che consente di mantenere una certa distanza di sicurezza.
Per saperne approfondire l’argomento, vi invitiamo a consultare le fonti riportate di seguito:
https://cointelegraph.com/news/brazil-central-bankservice- provider-hacked-140-million
https://en.spaziocrypto.com/hack/140m-heist-atbrazilian- reserve-via-c-m/?utm_source=chatgpt.com
https://www.reuters.com/world/americas/braziliantech- services-company-cm-resumes-operations-aftercyberattack- 2025-07-03/?utm_source=chatgpt.com
https://apnews.com/article/brazil-hack-cyberattackbank- 5e39633b2ce3a662b90978dcf4647510
Autori: Lucio G. Insinga e Alessio Bandini
