Pix sofre golpe: Banco Central suspende três instituições por ataque hacker
O Banco Central (BC) anunciou a suspensão temporária de três instituições financeiras do sistema de pagamentos instantâneos Pix após um ataque cibernético que resultou no desvio de pelo menos R$ 400 milhões. As fintechs Transfeera, Soffy e Nuoro Pay foram desligadas do sistema como medida cautelar.
As investigações visam apurar se as empresas tiveram participação direta ou indireta no ataque que comprometeu a segurança da infraestrutura bancária nacional.
A ofensiva digital teve como alvo a empresa C&M Software, fornecedora de soluções tecnológicas para o setor financeiro.
Embora não opere diretamente transações financeiras, a C&M serve de ponte entre instituições e o Sistema de Pagamentos Brasileiro (SPB), o que a torna um elo sensível na cadeia de funcionamento do Pix.
Leia mais:
Golpe do pescador fantasma: INSS gasta bilhões em cidades com fraude
Bancos se reinventam: combos mensais tentam conquistar clientes e substituir tarifas
Contexto da suspensão
Medida cautelar do Banco Central visa preservar integridade do sistema
A suspensão das três instituições foi aplicada com base no Artigo 95-A da Resolução 30/2020 do Banco Central, que permite a exclusão temporária de participantes cujas práticas possam comprometer o funcionamento regular do arranjo de pagamentos.
De acordo com o BC, a suspensão pode durar até 60 dias, período durante o qual serão realizadas análises para verificar a participação ou a eventual falha de segurança das instituições envolvidas.
Em nota oficial, o Banco Central afirmou:
“A medida visa preservar a integridade e a segurança do Pix enquanto são apurados os fatos relacionados ao incidente cibernético. O Banco Central atua com total rigor na mitigação de riscos sistêmicos.”
Quem são as empresas suspensas
Transfeera: Gestão de pagamentos em xeque
A Transfeera, sediada em Santa Catarina, é uma sociedade de capital fechado autorizada pelo próprio Banco Central
.Especializada na gestão financeira de empresas, a fintech confirmou que sua funcionalidade de Pix foi desativada, mas assegurou que os demais serviços continuam operando normalmente.
“Nossa instituição, tampouco nossos clientes, foram afetados pelo incidente. Estamos colaborando com as autoridades para restabelecimento pleno do serviço”, declarou a empresa em nota.
Soffy e Nuoro Pay: Participantes indiretas
As outras duas instituições afetadas, Soffy e Nuoro Pay, atuam como fintechs e não são diretamente autorizadas pelo Banco Central a operar no Pix. Elas integram o sistema através de parcerias com instituições financeiras autorizadas.
Até o momento, nenhuma das duas empresas se pronunciou publicamente sobre a suspensão.
Entenda o ataque cibernético
Hacker interno e uso de criptomoedas levantam preocupações
O ataque ocorreu na noite de terça-feira (1º de julho), quando criminosos exploraram vulnerabilidades no sistema da C&M Software. O foco do ataque foram as contas reservas mantidas por bancos no Banco Central, utilizadas para cumprir obrigações legais de liquidez.
Os valores foram transferidos por meio do Pix e convertidos em criptomoedas, dificultando o rastreamento.
A Empresa Brasil de Comunicação (EBC) confirmou que ao menos R$ 400 milhões foram desviados durante a operação criminosa. A ação sofisticada contou com o envolvimento de um funcionário da própria C&M, que foi preso pela Polícia Civil de São Paulo.
O colaborador confessou ter recebido R$ 15 mil para facilitar o acesso dos hackers aos sistemas internos da empresa. Parte do pagamento foi feita para fornecer credenciais, enquanto o restante foi destinado à criação de uma interface de entrada para os invasores.
Investigação em andamento
Banco Central, Polícia Federal e Polícia Civil atuam em conjunto
O caso está sendo investigado pela Polícia Federal, Polícia Civil de São Paulo e pelo próprio Banco Central. Até o momento, não há confirmação oficial de que as instituições suspensas tenham colaborado intencionalmente com os criminosos.
Na quinta-feira (3), o BC autorizou a C&M Software a retomar parcialmente suas atividades, destacando que não houve comprometimento de dados de clientes. Mesmo assim, a situação gerou um alerta nacional sobre os riscos associados à segurança cibernética no sistema bancário brasileiro.
A C&M Software reiterou em nota que nenhum dado sensível foi exposto e que está adotando medidas internas para reforçar seus protocolos de segurança.
Impactos no sistema financeiro
Suspensão levanta debate sobre fragilidade de intermediários
O incidente reacende discussões sobre a segurança de fintechs e intermediários no sistema financeiro, sobretudo em um ambiente digital em constante expansão.
A possibilidade de empresas não diretamente autorizadas operarem no Pix via terceiros levanta preocupações quanto à blindagem tecnológica e às responsabilidades compartilhadas.
Especialistas em segurança digital afirmam que o caso serve como um alerta sistêmico, mostrando que mesmo empresas com atuação indireta podem representar riscos relevantes.
Segundo Carlos Eduardo Bentes, especialista em cibersegurança:
“O elo mais fraco da cadeia pode comprometer o sistema inteiro. A regulamentação precisa acompanhar a inovação com exigências proporcionais ao risco envolvido.”
Repercussões políticas e no setor privado
Congresso e setor financeiro pedem revisão da regulamentação
O caso também gerou movimentações no Congresso Nacional, onde parlamentares já articulam a convocação de autoridades do Banco Central para prestar esclarecimentos.
Há pressão para uma revisão das normas que permitem parcerias indiretas no Pix, especialmente em situações que envolvem empresas não supervisionadas de forma contínua.
Por outro lado, associações de fintechs pedem cautela nas avaliações. Para elas, o episódio foi isolado e não pode ser usado como justificativa para frear a inovação no setor de pagamentos digitais.
Perspectivas para o Pix após o ataque
Confiança abalada, mas estrutura segue robusta
Apesar do episódio, o Banco Central reafirmou a robustez do sistema Pix, que hoje é uma das maiores inovações do setor bancário brasileiro, com mais de 160 milhões de chaves cadastradas e bilhões em movimentações diárias.
A confiança dos usuários, no entanto, pode ser afetada no curto prazo. O sucesso das investigações e a clareza na comunicação institucional serão cruciais para restabelecer a credibilidade do sistema.
O que esperar nos próximos dias
- Concluída a auditoria do BC, as instituições suspensas poderão, ou não, ser reintegradas ao Pix.
- A Polícia Federal deve avançar com novas prisões nos próximos dias.
- O Congresso pode abrir comissão temporária para discutir falhas de segurança em fintechs.
- C&M Software deve implementar novos padrões de segurança, sob supervisão do Banco Central.
Conclusão
O ataque cibernético à C&M Software e a suspensão de três instituições do Pix representam um marco crítico para a segurança digital no sistema financeiro brasileiro.
Embora ainda não haja prova de envolvimento direto das empresas suspensas, o episódio escancara a necessidade de maior vigilância sobre intermediários e parceiros tecnológicos.
A resposta firme do Banco Central mostra o compromisso com a estabilidade do Pix, mas também destaca as lacunas regulatórias que ainda precisam ser preenchidas. Em tempos de transformação digital acelerada, a segurança não pode ser secundária à inovação.
