Onda de ataques desafia segurança do Pix com desvio de R$ 1 bilhão

O que está por trás do maior golpe digital já registrado no sistema Pix.

Um grande ataque hacker abalou a credibilidade do sistema Pix ao desviar cerca de R$ 1 bilhão de contas reservas do Banco Central na madrugada da última segunda-feira (30/6), atingindo principalmente bancos que utilizam os serviços tecnológicos da empresa C&M Software. O incidente levou à interrupção temporária do sistema de pagamentos instantâneos e acionou uma força-tarefa de investigação envolvendo Polícia Civil, Polícia Federal e o próprio Banco Central. As autoridades revelaram que um funcionário terceirizado da C&M Software, atuando em São Paulo, facilitou o acesso dos criminosos ao sistema permitindo a invasão por uso de seu computador pessoal, numa clara operação de engenharia social. O ataque, considerado o maior desse tipo já registrado em instituições financeiras brasileiras, intensificou o debate sobre segurança digital em operações bancárias e expôs vulnerabilidades em empresas intermediárias de tecnologia. Depósitos de pessoas físicas não foram afetados e parte das instituições clientes da C&M Software, incluindo bancos e cooperativas de menor porte, rapidamente comunicaram os clientes sobre a integridade dos seus recursos. O evento ocorreu no momento em que o Pix já é o principal meio de pagamentos do país, trazendo à tona os desafios e riscos da digitalização financeira no Brasil, além de questionamentos sobre os controles de segurança de provedores terceirizados.

A C&M Software figura como peça central nesse episódio por conectar dezenas de bancos e instituições ao Sistema de Pagamentos Brasileiro (SPB), sendo responsável por permitir que fintechs e pequenos bancos ofereçam Pix sem ter estrutura própria. O ataque focou nas “contas reservas”, que servem para liquidar operações entre instituições financeiras, e não em contas individuais de usuários. Segundo a empresa, o incidente não decorreu de falha técnica, mas sim de compartilhamento indevido de credenciais de acesso, resultado de técnicas de engenharia social. As investigações apontam que login e senha de clientes foram vazados e utilizados para acessar o sistema da C&M. O Banco Central confirmou que nenhuma movimentação irregular ocorreu em contas de pessoas físicas ou dados sensíveis de usuários finais. A C&M, em nota oficial, reforçou que medidas técnicas e legais foram adotadas imediatamente após a descoberta, com monitoramento reforçado de seus sistemas. A gravidade do ocorrido levou o Banco Central a suspender temporariamente três instituições financeiras do sistema Pix, enquanto se apura a extensão do envolvimento de cada participante e se busca evitar novos prejuízos ao sistema financeiro nacional.

As consequências do ataque são diversas e vão além do prejuízo financeiro. O incidente escancarou vulnerabilidades no ecossistema de pagamentos digitais brasileiro, sobretudo no relacionamento entre empresas de tecnologia intermediárias e instituições reguladas pelo Banco Central. O episódio obrigou fintechs e bancos afetados a revisarem processos internos de segurança, intensificando treinamentos contra golpes de engenharia social e fortificando protocolos de autenticação. Ao mesmo tempo, o Banco Central anunciou medidas emergenciais e prometeu fiscalizações ainda mais rigorosas sobre provedores terceirizados. A Transfeera, uma das instituições suspensas do Pix, comunicou que nenhum cliente foi afetado e mantém diálogo com autoridades para retomada do serviço. Já o Banco Paulista e o BMP, bancos diretamente atingidos, reforçaram que o ataque não comprometeu dados sensíveis nem recursos de clientes finais, mas destacou a importância de políticas de acesso cada vez mais restritivas. Especialistas do setor avaliam que a sofisticação dos criminosos nesse caso representa um alerta sobre a evolução das ameaças digitais no Brasil e demandam investimentos contínuos em tecnologia e capacitação de equipes.

O episódio evidencia que, apesar dos avanços do Pix em agilidade e inclusão financeira, a segurança cibernética precisa acompanhar a mesma velocidade de evolução do sistema. A expectativa das autoridades e do setor é de que o incidente sirva de divisor de águas, resultando em protocolos mais rígidos de monitoramento, auditorias constantes e maior integração entre instituições para detecção precoce de comportamentos suspeitos. Especialistas alertam para o aumento de tentativas de engenharia social e recomendam que empresas reforcem boas práticas em segurança digital, evitando o compartilhamento de credenciais e adotando autenticação em múltiplos fatores. Enquanto as investigações seguem, o Banco Central já sinaliza para mudanças regulatórias e maior rigor na fiscalização sobre instituições ligadas ao ecossistema Pix, em busca de garantir que a confiança dos brasileiros no sistema de pagamentos instantâneos permaneça inabalada.

Para acompanhar atualizações sobre economia e cibersegurança, acesse Portal Rádio London ou navegue pela editoria de economia.

Medidas e expectativas para a segurança do Pix após o ataque

Com o impacto do ataque à C&M Software ainda reverberando, cresce a mobilização do setor financeiro para aprimorar controles e fortalecer parcerias. O Banco Central, em resposta ágil, demonstrou comprometimento com a segurança do sistema ao suspender empresas suspeitas e aprofundar investigações para identificar fragilidades nos processos de integração entre instituições financeiras e prestadores de tecnologia. O episódio marca uma nova fase de atenção e exigirá, daqui para a frente, integração ainda maior entre as áreas de tecnologia, compliance e governança. Ao mesmo tempo, obriga empresas e usuários a redobrarem cuidados com boas práticas digitais, o que inclui não apenas o investimento em ferramentas, mas, sobretudo, o treinamento constante de equipes e a revisão de políticas de acesso a sistemas críticos. O avanço dos meios de pagamento instantâneo no Brasil, acelerado pelo sucesso do Pix, depende agora do fortalecimento da confiança da sociedade na segurança do ambiente digital. As lições desse episódio devem impulsionar o desenvolvimento de soluções mais robustas e adaptar a regulação à velocidade de novas ameaças cibernéticas, buscando consolidar o sistema financeiro nacional como referência em inovação e proteção de dados. O caso serve, portanto, de alerta permanente, e as próximas semanas serão decisivas para a retomada plena das operações e definições sobre futuras exigências de proteção para todos os atores do ecossistema.

Banco Central bloqueia três instituições do Pix por possível ligação com ataque cibernético que desviou R$ 400 milhões

O Banco Central (BC) suspendeu cautelarmente do Pix três instituições financeiras suspeitas de envolvimento no desvio de recursos durante um ataque cibernético à C&M Software, provedora de serviços tecnológicos. As instituições desconectadas do sistema são Transfeera, Soffy e Nuoro Pay.

O BC investiga se essas empresas têm relação com o ataque, que desviou pelo menos R$ 400 milhões de contas reserva mantidas por bancos na autoridade monetária, segundo a Empresa Brasil de Comunicação (EBC). A suspensão, com duração de até 60 dias, está prevista no Artigo 95-A da Resolução 30 do BC, de outubro de 2020, que permite a interrupção da participação no Pix de instituições cuja conduta ameace o funcionamento do sistema de pagamentos.

A Transfeera, empresa de capital fechado autorizada pelo BC, confirmou a suspensão do Pix, mas destacou que seus outros serviços seguem funcionando normalmente. Em nota, a companhia afirmou não ter sido afetada pelo incidente e está colaborando com as autoridades para restabelecer a funcionalidade. As fintechs Soffy e Nuoro Pay, que operam o Pix por meio de parcerias com outras instituições financeiras, não são autorizadas diretamente pelo BC e não se pronunciaram até o momento.

Justificativa

A medida do BC visa proteger a integridade e a segurança do sistema de pagamentos enquanto as investigações sobre o desvio de recursos prosseguem.