O golpe, considerado o maior ataque cibernético do sistema financeiro brasileiro, mobiliza a Polícia Civil de São Paulo e a Polícia Federal, enquanto as empresas afetadas negam envolvimento direto

O Banco Central (BC) suspendeu preventivamente seis instituições financeiras que, segundo investigações, teriam recebido parte dos R$ 541 milhões desviados em um ataque hacker à BMP Money Plus. Este é considerado o maior ataque cibernético já registrado no sistema financeiro brasileiro e está sendo investigado pela Polícia Civil de São Paulo e pela Polícia Federal.

Na última sexta-feira, dia 4, o BC confirmou a suspensão de mais três instituições – Voluti Gestão Financeira, Brasil Cash e S3 Bank – que se juntam a outras três já com operações limitadas: Transfeera, Nuoro Pay e Soffy. As suspensões têm validade de 60 dias, podendo ser prorrogadas ou encerradas conforme o andamento das investigações.

O Banco Central explicou que a medida visa preservar a integridade do sistema de pagamentos, podendo suspender a qualquer momento a participação de instituições no Pix “cuja conduta coloque em risco o funcionamento do sistema”.

Empresas se Defendem

As fintechs envolvidas negam participação direta no golpe. A Transfeera informou que apenas seus serviços via Pix foram suspensos e que as demais operações continuam normalmente, afirmando não ter sido alvo do ataque e estar colaborando com as investigações. A Nuoro Pay também emitiu nota, afirmando cumprir as normas do BC e manter diálogo com as autoridades. A Soffy, apontada como destinatária de aproximadamente R$ 270 milhões desviados, ainda não se manifestou.

Detalhes do Golpe

O ataque hacker utilizou um esquema de “Supply Chain”, onde criminosos se infiltram em empresas intermediárias de dados sensíveis entre instituições financeiras. O alvo foi a C&M Software, responsável pela comunicação entre bancos e o Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix.

A Polícia Civil de São Paulo revelou que o golpe envolveu João Nazareno Roque, de 48 anos, funcionário da C&M, que confessou ter permitido o acesso ao sistema da empresa de seu próprio computador em troca de R$ 15 mil. Ele foi preso em 3 de julho. Embora relatórios iniciais estimem que o golpe tenha movimentado entre R$ 1 bilhão e R$ 3 bilhões, o prejuízo confirmado até o momento é o da BMP, de R$ 541 milhões.

Outras Instituições Atingidas

Além da BMP, outras instituições financeiras como Banco Paulista, Credsystem e Banco Carrefour admitiram ter sido impactadas. Há suspeitas de que 79 pessoas tenham recebido parte do dinheiro desviado, sendo que quatro delas teriam se beneficiado com mais de R$ 100 milhões cada. As investigações prosseguem para determinar a extensão total do prejuízo e a possível atuação de uma rede criminosa especializada.

O “roubo do século” expõe vulnerabilidades na conexão ao Pix e coloca segurança bancária sob o foco da Polícia Federal

Um ataque cibernético de grandes proporções tem abalado os bastidores do sistema financeiro brasileiro, sendo já considerado o “roubo do século”. O caso, inicialmente revelado pelo Brazil Journal e detalhado em reportagem de Fábio Matos no portal Metrópoles, teve como alvo a C&M Software, empresa que faz a ponte entre instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix.

A C&M Software, fundada em 1992, é uma das principais fornecedoras de serviços de mensageria para bancos e fintechs sem conexão direta com o Banco Central. A companhia confirmou ter sido vítima do ataque, com estimativas iniciais de um desvio que pode chegar a R$ 1 bilhão. Embora o valor exato não tenha sido oficialmente confirmado, fontes indicam que os criminosos conseguiram acessar múltiplas contas e iniciar transferências em cadeia usando o sistema do Pix.

O que se sabe até agora

Entre as instituições mais afetadas está a BMP, provedora de soluções de banking as a service (BaaS). Em nota, a BMP afirmou que o ataque afetou exclusivamente os recursos de sua conta de reserva no Banco Central, sem impactar os clientes finais. A empresa garantiu ter adotado todas as medidas cabíveis e possuir colaterais suficientes para cobrir integralmente o valor.

O Banco Central também se pronunciou, informando que a C&M comunicou o incidente e, por segurança, o acesso das instituições às infraestruturas operadas pela C&M foi desligado. O BC reforçou que seus sistemas próprios permanecem íntegros e não foram invadidos.

Relatos iniciais apontam que os hackers utilizaram credenciais legítimas de clientes da C&M para acessar os sistemas de mensageria e realizar as transferências não autorizadas. A C&M reconheceu a violação, afirmando ter sido “vítima direta da ação criminosa”.

Investigação Federal e impactos

A Polícia Federal, em conjunto com a Polícia Civil de São Paulo, já deu início à investigação do ataque. Dada a complexidade da fraude, o envolvimento de diversas instituições financeiras e o possível rombo bilionário, espera-se que a apuração ganhe escala nacional, tornando-se uma prioridade no combate ao cibercrime.

A fraude, que explorou um elo sensível entre instituições privadas e o Banco Central, reacende o debate sobre a segurança cibernética do Pix. A velocidade das operações do Pix pode dificultar a recuperação dos valores desviados.

Embora a lista completa das instituições afetadas não tenha sido divulgada oficialmente, analistas do setor financeiro estimam que bancos e fintechs impactados teriam sofrido prejuízos médios acima de R$ 50 milhões. O incidente serve como um alerta severo sobre os riscos da terceirização de infraestrutura crítica e a necessidade de mecanismos de detecção e bloqueio em tempo real, especialmente em um ambiente que opera 24 horas por dia.

A C&M segue colaborando com as autoridades. Este caso se configura como uma das maiores investigações de crime cibernético da história recente do Brasil e poderá redefinir os padrões de segurança no ecossistema financeiro nacional.

Siga Folha de Valinhos no