Na esteira de um dos maiores golpes financeiros via internet já registrados no Brasil, o Banco Central (BC) suspendeu temporariamente seis instituições financeiras que, segundo investigações preliminares, podem ter sido usadas para movimentar dinheiro desviado por criminosos. A ação está ligada ao ataque hacker contra a C&M Software, empresa que atua nos bastidores de transações bancárias, incluindo operações via Pix.
O que está acontecendo?
Na sexta-feira (04), o BC anunciou a suspensão cautelar de mais três empresas: Voluti Gestão Financeira, Brasil Cash e S3 Bank. Essas se somam às já suspensas Transfeera, Soffy e Nuoro Pay, totalizando seis instituições temporariamente fora do sistema Pix.
A suspensão é uma medida preventiva, com validade de até 60 dias, e está prevista nas regras do próprio Pix. Segundo o Banco Central, qualquer instituição que represente risco à integridade do sistema pode ser afastada enquanto a situação é investigada.
Como começou esse caso?
Tudo começou na quarta-feira (02), quando a C&M Software foi alvo de um ataque cibernético. A empresa, especializada em interligar bancos ao Sistema de Pagamentos Brasileiro (SPB), teve sua infraestrutura comprometida. Embora o Banco Central não tenha sido diretamente afetado, determinou o bloqueio do acesso de instituições financeiras aos sistemas da C&M enquanto avalia os impactos.
Na quinta (03), a empresa teve permissão para retomar as operações com o Pix, mas sob um regime de produção controlada e com supervisão externa.
Um rombo de mais de meio bilhão
Segundo a Polícia Civil de São Paulo, uma das instituições afetadas, a BMP, sofreu um prejuízo de R$ 541 milhões em apenas três horas. O valor foi desviado por meio de transferências via Pix, o que escancara a velocidade e gravidade do ataque.
A BMP, que presta serviços bancários e tecnológicos para outras empresas, foi a primeira a confirmar o prejuízo. No entanto, a polícia acredita que outras cinco instituições também foram atingidas. O valor total desviado ainda está sendo calculado, com estimativas variando entre R$ 800 milhões e R$ 1 bilhão.
Como o ataque foi realizado?
Durante as investigações, um nome surgiu no centro do escândalo: João Nazareno Roque, operador de TI da C&M Software. Ele foi preso pela Polícia Civil de São Paulo e revelou detalhes sobre como o crime foi planejado.
De acordo com o depoimento:
-
Em março, ao sair de um bar, Nazareno foi abordado por um homem que sabia onde ele trabalhava;
-
Esse homem ofereceu R$ 5 mil para que ele ajudasse a conhecer o sistema da empresa;
-
Dias depois, a proposta subiu para R$ 10 mil, com o pedido para que ele executasse comandos dentro da plataforma;
-
O pagamento foi feito em dinheiro vivo, com cédulas de R$ 100;
-
A execução dos comandos aconteceu em maio, e os criminosos se comunicavam exclusivamente por WhatsApp, com ligações e mensagens vindas de números diferentes;
-
No dia do ataque, o operador conversou com quatro hackers distintos por telefone;
-
O único encontro presencial foi com o primeiro intermediário.
As informações indicam que os criminosos tiveram acesso a credenciais reais de clientes, o que permitiu simular transações legítimas para driblar os sistemas de segurança.
O que pode acontecer agora?
As instituições suspensas continuam funcionando parcialmente, com os serviços Pix desativados enquanto durarem as investigações. Caso as suspeitas se confirmem, elas podem sofrer sanções mais graves, incluindo exclusão do sistema ou penalidades legais.
O Banco Central reforça que a medida é preventiva e que as empresas terão espaço para se defender. As investigações continuam sob responsabilidade da Polícia Civil, que deve revelar novos detalhes nos próximos dias.
O que aprendemos com esse caso?
Este episódio evidencia como falhas humanas e lacunas de segurança ainda representam riscos sérios mesmo em sistemas modernos como o Pix. Também mostra a importância de controle interno rigoroso, auditorias frequentes e proteção de credenciais — especialmente em empresas que operam com dados financeiros sensíveis.
Para o usuário comum, é mais um lembrete de que a segurança digital não depende apenas de tecnologia: depende de pessoas, processos e ética.
A história ainda está em desenvolvimento, e novas atualizações são esperadas.
